Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Bedrijven staan voor de uitdaging tijdig aan de (nieuwe) verplichtingen te voldoen. Heeft de Functionaris Gegevensbescherming (FG) of Data Protection Officer (DPO) toegevoegde waarde? Kortom: FG of DPO wat heb je eraan en moet je er een hebben?
Is de FG of DPO een nieuwe figuur?
De FG is geen nieuwe figuur. Onder de nu geldende Wet bescherming persoonsgegevens (Wbp) is het aanstellen van een FG facultatief. Bedrijven die een FG hebben en deze hebben aangemeld bij de Autoriteit Persoonsgegevens (AP) hoeven hun gegevensverwerkingen niet aan de AP te melden, maar melden verwerkingen aan de FG. De toegevoegde waarde van een FG is onder de geldende wetgeving niet direct duidelijk. Wordt dit anders onder de AVG? Ja, onder de AVG heeft de FG of DPO een formele status. Om het verschil tussen het huidige en toekomstige regime te markeren gebruiken wij hierna de Engelse term DPO.
Wat doet een DPO?
De DPO functioneert als een privacy-duizendpoot binnen de organisatie. De volgende taken behoren tot zijn domein:
- Het informeren en adviseren over de verplichtingen uit de AVG;
- Toezien op de naleving van de AVG en het eigen privacybeleid;
- Adviseren over en toezien op een gegevensbeschermingseffectbeoordeling (PIA);
- Optreden als contactpunt voor en samenwerken met de toezichthoudende autoriteit.
Daarnaast kunnen ook andere taken aan de DPO worden toebedeeld, zoals het bijhouden van het register van gegevensverwerkingen. Om het uiteenlopende takenpakket naar behoren te kunnen vervullen moet de DPO beschikken over voldoende resources en actieve steun van het management, toegankelijk zijn voor mensen binnen en buiten de organisatie en op basis van een selectieve en pragmatische aanpak keuzes maken in de uitvoering van deze taken. De AVG biedt de DPO ruimte om activiteiten te prioriteren op basis van het risico voor de gegevensbescherming; een risk-based approach.
De DPO is niet in persoon aansprakelijk voor niet-naleving van de AVG. De onderneming is en blijft verantwoordelijk voor de verwerking en compliance met de AVG. Het is dus zaak voor ondernemingen om de DPO zorgvuldig te kiezen en dit risico zodoende te minimaliseren.
Wie is geschikt als DPO?
De DPO wordt aangewezen op basis van zijn professionele kwaliteiten en (belangrijker) zijn deskundigheid op het gebied van wetgeving en de praktijk van gegevensbescherming. Daarnaast moet de DPO (kunnen) rapporteren aan de hoogste leidinggevende binnen de onderneming en zijn taken onafhankelijk kunnen verrichten. Een onderneming kan kiezen om een personeelslid als de DPO aan te wijzen, of een externe partij als DPO aan te stellen.
In de praktijk zal het, zeker bij grote groepsondernemingen en multinationals, lastig zijn om één persoon te vinden die aan alle eisen voor een DPO voldoet. Er kan een team worden samengesteld dat de DPO ondersteunt in de uitoefening van zijn taken. Dit team kan echter niet in de plaats treden van de DPO. De functie van de DPO kan slechts door één persoon worden vervuld.
Een bijkomend probleem is dat de DPO geen beslissingsbevoegdheid mag hebben ten aanzien van verwerkingen van persoonsgegevens. Dit kan namelijk leiden tot verstrengeling van belangen. In het algemeen maakt dit posities zoals Chief Executive en Head of HR / IT – of vergelijkbare functies lager in de organisatie – ongeschikt voor de functie als DPO. Ook bij een extern aangestelde DPO kan zich het probleem van belangenverstrengeling voordoen, in het bijzonder wanneer de externe DPO tevens de (juridisch) adviseur is van de onderneming ten aanzien van privacy vraagstukken.
Wanneer is een DPO verplicht?
Bedrijven zijn verplicht een DPO aan te stellen indien zij hoofdzakelijk werkzaamheden verrichten die een regelmatige en stelselmatige observatie van personen op grote schaal, of die een grootschalige verwerking van bijzondere of strafrechtelijke persoonsgegevens, vereisen[1]. De criteria zijn niet eenduidig.
Onder regelmatige en stelselmatige observatie wordt verstaan: online of offline monitoring van personen volgens een bepaalde methode of een plan, waarbij de monitoring constant, periodiek of herhaald op bepaalde momenten plaatsvindt.
Voorbeelden zijn registratie van bezoekers door een beveiligingsbedrijf als onderdeel van de beveiliging van een gebouw, het bijhouden van het surfgedrag van internetgebruikers voor behavioural advertisement of het bijhouden van de fitheid van dragers van wearables.
Hoofdzakelijk houdt in dat de voor de beoordeling relevante verwerking een kernactiviteit van een onderneming moet zijn, of daarmee onlosmakelijk moet zijn verbonden.
Van een ziekenhuis is de kernactiviteit het genezen van mensen. Hierbij is het onvermijdelijk dat medische gegevens worden verwerkt. Die verwerking is daarmee één van de hoofdzakelijke werkzaamheden. De salarisadministratie is echter niet onlosmakelijk verbonden aan de kerntaak van het ziekenhuis en is dus niet relevant in de beoordeling.
Grootschalig: voor de beoordeling of sprake is van een grootschalige verwerking is onder meer de hoeveelheid betrokken personen en data, alsmede de duur en de geografische omvang van de verwerking relevant.
Aangenomen moet worden dat een ziekenhuis op grote schaal medische gegevens verwerkt. Echter, er is geen sprake van grootschalige verwerking wanneer een individuele arts medische gegevens verwerking of een individuele advocaat strafrechtelijke gegevens verwerkt.
DPO: een must-have voor bedrijven?
De DPO kan gelet op zijn expertise en bevoegdheden een sleutelrol vervullen bij de implementatie van de AVG in een organisatie. Dit kan veel meerwaarde hebben, omdat de datum waarop de AVG van toepassing zal zijn snel nadert. Juist om die reden verdient aanbeveling ook voor bedrijven die naar de letter van de AVG niet verplicht zijn om een DPO aan te stellen, vrijwillig een persoon met een vergelijkbaar profiel aan te stellen.
[1] Daarnaast zijn ook overheidsinstanties en overheidsorganen verplicht een DPO aan te stellen. Deze zullen in dit artikel buiten beschouwing worden gelaten.
Raadpleeg voor meer informatie: www.gdpr.kvdl.nl
