Personvernsjef - Chief privacy officer

The Chief Privacy Officer (CPO) er et overordnet nivå utøvende innen et økende antall globale selskaper, offentlige etater og andre organisasjoner, med ansvar for å håndtere risiko knyttet til informasjonspersonvernlover og forskrifter. Variasjoner på rollen inneholder ofte titler som "Privacy Officer", "Privacy Leader" og "Privacy Counsel." Imidlertid skiller rollen som CPO seg vesentlig fra en annen rolle med samme tittel, databeskyttelsesoffiser (DPO), en rolle som er pålagt noen organisasjoner under GDPR , og de to rollene skal ikke forveksles eller sammensmeltes.

CPO-rollen var et svar på økende "(c) bekymring over brukerne av personlig informasjon, inkludert medisinske data og økonomisk informasjon sammen med lover og forskrifter." Spesielt utvidelsen av personvernloven og nye forskrifter som regulerer innsamling og bruk av personlig informasjon, for eksempel European Union General Data Protection Regulation (GDPR), har løftet profilen og økt hyppigheten av å ha en toppsjef som leder av personvernrelatert overholdelsesarbeid. I tillegg krever noen lover og forskrifter (for eksempel HIPAA Security Rule ) at visse organisasjoner innenfor deres regulatoriske omfang må utpeke en personvernleder.

Historie

I USA ble stillingen som sjef for personvern først etablert hos Acxiom for markedsføringsdatabaser for forbrukerdatabaser i 1991 med utnevnelsen av Jennifer Barrett som CPO. Rollen opererte i uklarhet til august 1999 da internettannonseringsteknologifirmaet AllAdvantage utnevnte personvernadvokat Ray Everett til den første forekomsten av rollen på internett. Dette startet en trend som raskt spredte seg blant store selskaper, både offline og online. Rollen som Chief Privacy Officer ble forsterket i den amerikanske bedriftsverdenen i november 2000 med utnevnelsen av Harriet Pearson som Chief Privacy Officer for IBM Corporation . Denne hendelsen fikk en innflytelsesrik analytiker til å erklære at "personvernsjefen er en trend hvis tid er kommet."

Innen 2001 rapporterte den ideelle organisasjonen Privacy and American Business at et betydelig antall Fortune 500- firmaer hadde utnevnt toppledere med tittelen eller rollen som Chief Privacy Officer. Veksten i Chief Privacy Officer-trenden ble ytterligere drevet av EUs passering på slutten av 1990-tallet av personvernlover og -forskrifter som inkluderte et krav for alle selskaper å ha en person utpekt til å være ansvarlig for overholdelse av personvern.

Innen 2002 var stillingen som Chief Privacy Officer og lignende personvernrelaterte lederstillinger tilstrekkelig utbredt til å støtte opprettelsen av profesjonelle samfunn og bransjeforeninger for å fremme opplærings- og sertifiseringsprogrammer. I 2002 ble den største av disse organisasjonene, Privacy Officers Association og Association of Corporate Privacy Officers, slått sammen og dannet International Association of Privacy Officers, som senere ble omdøpt til International Association of Privacy Professionals (IAPP). IAPP holder hvert år flere konferanser og opplæringsseminarer rundt om i verden, og er vertskap for foreningsmedlemmer fra store globale selskaper og offentlige etater, med ledere som søker sertifiseringsprogrammer innen personvernadministrasjon. I 2019 hadde det angivelig mer enn 50000 medlemmer globalt, noe som ledelsen tilskrives selskapenes svar på nye lover som GDPR.

Ansvar og plikter

Som leder av et privatlivsprogram har en CPO en rekke viktige ansvarsoppgaver, inkludert:

  • Styring av selskapets policyer, prosedyrer og datastyring
  • Driv personvernrelatert bevissthet og opplæring blant ansatte
  • Ledende respons på hendelsen, inkludert beredskap for brudd på data
  • Kommunisere personvernmål og verdier både internt og eksternt
  • Designe kontroller for å håndtere personvernoverholdelse
  • Vurdering av personvernrelaterte risikoer som oppstår fra eksisterende produkter og tjenester
  • Gjennomføre vurdering av personvernkonsekvenser for å identifisere risikoer i nye eller endrede forretningsaktiviteter
  • Overvåke effektiviteten av personvernrelaterte risikoreduserende og samsvarstiltak

Mange av disse aktivitetene og kravene er inkludert i CPO-stillingsbeskrivelser.

Rollen krever sterke samarbeidsrelasjoner med andre interessenter i en organisasjon, inkludert ingeniører og produktledere (for personvernpåvirkning av produkter og tjenester), menneskelige ressurser (for personvernpåvirkning av ansattes data), juridiske team (for overvåking og tolkning av gjeldende lover og samsvarstiltak), innkjøp og leverandøradministrasjon, og informasjonsteknologi og informasjonssikkerhetsteam.

Interaksjoner med andre seniorroller

Når organisasjoner identifiserer behovet for en CPO, oppstår en hyppig utfordring med hensyn til plassering av rollen i organisasjonsstrukturen og spørsmålet om overlapping mellom lignende "C-nivå" -roller, spesielt de mange skjæringspunktene mellom rollene til CPO og den Chief Information Security Officer (CISO). Mens CPO og CISO har noe overlapp i ansvaret rundt databeskyttelse og datastyring, har til slutt personvern og sikkerhet forskjellige roller å spille. For eksempel, mens CPO og CISO kan begge være opptatt av å forhindre brudd på data, vil ansvaret for å håndtere tekniske forebyggende tiltak ha en tendens til å ligge hos CISO, mens en CPOs bekymringer vil se bredere på om ellers riktig sikrede data blir brukt på måter som kan føre selskapet til juridisk, regulatorisk eller omdømmemessig risiko.

Et annet område med potensiell overlapping, og noen ganger forvirring, er samspillet mellom en CPO og den stadig mer vanlige rollen som Data Protection Officer (DPO). DPO-rollen er spesielt påkrevd for visse organisasjoner som faller under jurisdiksjonen til EUs GDPR . DPO-er har veldig spesifikke roller, krav og forventninger beskrevet i GDPR artikkel 39 og tilhørende regulatoriske retningslinjer, og de inkluderer et nivå av nødvendig uavhengighet og organisatorisk separasjon som gjør det veldig forskjellig fra en CPO.

Kvalifikasjoner og bakgrunn

Mens en rekke CPOs kommer fra juridisk bakgrunn og har Juris Doctor (eller tilsvarende) grader, er CPO-rollen tverrfaglig. Rollen krever en leder med forståelse av hvordan datainnsamling og bruk, og tilhørende risikoer, alt sammen spiller inn i en organisasjons daglige forretningsdrift. CPO-er må også være klar over en rekke juridiske, regulatoriske, kontraktmessige og andre faktorer som påvirker en organisasjons personvernrisikostrategi. Av disse grunner mener mange at en juridisk bakgrunn er et krav for en vellykket CPO. Andre mener at en juridisk bakgrunn kan føre til for lite fokus, og CPO bør ha mer enn bare en juridisk bakgrunn.

Blant andre kvalifikasjoner som blir sett på som verdifulle i CPO er sterke kommunikasjonsevner, spesielt innen PR, fordi rollen ikke bare er delvis ansvarlig for utvikling og gjennomføring av offentlige oppsøkende strategier i tilfelle databrudd eller andre datarelaterte sikkerhetshendelse, fungerer CPO ofte som PR-ansiktet til organisasjonen. CPOs blir også ofte bedt om å fungere som en lobbyist som representerer organisasjonens interesser overfor lovgivere. Det kreves også i økende grad CPOs å ha dyp kunnskap om organisasjonens datarelaterte operasjonelle praksis og teknologier, samt samspillet mellom samsvarstiltak som spenner over personvern og sikkerhet.

Profesjonell sertifisering

Et økende antall individer som søker karriere som CPO, vil søke opplæring i flere fagfelt relatert til feltet. Blant de vanligste legitimasjonene som er sett i rommet inkluderer:

  • Certified Information Privacy Professional (CIPP) med regionale spesialiseringer som USA, Canada, Europa og Asia
  • Certified Information Privacy Manager (CIPM)
  • Certified Information Privacy Technologist (CIPT)
  • Sertifisert i Healthcare Privacy and Security (CHPS)
  • Sertifisert i Healthcare Privacy Compliance (CHPC)
  • Certified Information Systems Security Professional (CISSP)

Lønn

Kompleksiteten i rollen og utfordringen med å finne individer med riktig blanding av ferdigheter, utdanning og erfaring gjenspeiles i lønnsdataene. Fra og med 2021 kommanderer CPO-rollen en medianlønn på $ 200 000 globalt, og over $ 212 000 i USA. Med andre kontoer varierte medianlønnene i 2021 for personvernkontorroller i USA fra $ 114,638 til $ 126,000.

Se også

Referanser