De Data Protection Officer onder de AVG: sterke uitbreiding eisen en taken

In eerdere nieuwsberichten schreven wij al over de Algemene Verordening Gegevensbescherming die op 25 mei 2018 van toepassing wordt. Deze Europese verordening vervangt de huidige Europese privacyrichtlijn (Richtlijn 95/46/EG) en daarmee eveneens de daarop gebaseerde Wet bescherming persoonsgegevens (Wbp). In deze bijdrage gaan wij in op de toekomstige verplichting voor organisaties om (in bepaalde situaties) een Data Protection Officer (DPO) of, in de Nederlandse vertaling, een Functionaris voor de Gegevensbescherming (FG) aan te stellen. Het aanstellen van een FG is geen nieuw fenomeen en vele organisaties hebben de afgelopen jaren al vrijwillig een FG aangesteld, of andere werknemers belast met privacygerelateerd werk. De Artikel 29-werkgroep, het onafhankelijke advies- en overlegorgaan van Europese privacytoezichthouders (WP29), heeft recent (vernieuwde) richtlijnen (inclusief FAQ) gepubliceerd over de FG. In deze richtlijnen verduidelijkt de WP29 wanneer de aanstelling van een FG op grond van de AVG verplicht is, welke positie hij binnen een organisatie inneemt en welke taken hij heeft. Conclusie lijkt dat de rol en positie van bestaande FG’s in veel gevallen niet voldoet aan de toekomstige vereisten van de AVG.

Vaker aanstelling van een FG

De aanstelling van een FG wordt in de toekomst voor meer organisaties verplicht. Deze verplichting geldt grof gezegd voor:

1. alle overheidsorganisaties die persoonsgegevens verwerken;
2. organisaties die hoofzakelijk of op grote schaal persoonsgegevens verwerken die regelmatige en stelselmatige observatie van betrokkenen vereist, bijvoorbeeld internetproviders, banken en bedrijven die aan profilering, behavioural targeting of locatietracking doen; of
3. organisaties die als onderdeel van hun hoofdactiviteit hoofzakelijk of op grote schaal ‘bijzondere’ persoonsgegevens verwerken, zoals zorginstellingen en beveiligingsbedrijven.

De WP29 raadt aan om ook in veel andere gevallen vrijwillig een FG aan te stellen, vooral wanneer bedrijven een taak van algemeen nut uitvoeren. Ook wordt aangeraden om vast te leggen waarom een organisatie van mening is dat aanstelling van een FG niet verplicht is.

Organisatorische eisen aan de positie van de FG

De AVG stelt een aantal zwaardere eisen aan de positie van de FG en aan de waarborgen die een organisatie moet bieden om de FG zijn taken goed te kunnen laten uitvoeren:

• de FG moet (actief) worden betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens. Daarnaast dient er een directe rapportagelijn te bestaan met het hoogste management. Ook dient de FG te worden geraadpleegd wanneer sprake is van een datalek of wanneer een privacy impact assessment (PIA) wordt uitgevoerd;
• de FG moet voldoende (financiële) middelen krijgen om zijn functie te kunnen uitoefenen. Te denken valt aan budget voor opleiding, ondersteuning en IT-systemen;
• de onafhankelijke positie van de FG moet worden gewaarborgd. Hij geniet ontslagbescherming, mag geen instructies krijgen van het management over het innemen van bepaalde standpunten en hij mag zelf geen andere functie hebben waarin hij besluiten neemt ten aanzien van verwerkingen van persoonsgegevens (zoals de CIO, CISO of HR-manager). Overigens mag de FG ook worden ingehuurd bij een externe partij.

Let op: ook als een organisatie vrijwillig een FG aanstelt, gelden de eisen aan de positie onverkort. Het kan daarom soms verstandig zijn om geen formele FG aan te stellen, maar één of meerdere medewerkers te belasten het privacygerelateerde zaken. In dat geval hoeft niet aan alle organisatorische vereisten te worden voldaan. De betreffende medewerker mag overigens niet de indruk wekken dat hij wel een formele FG is. Daarnaast mag hij zich ook niet presenteren als Data Protection Officer of Privacy Officer.

Multidisciplinaire taken van de FG

De FG moet ten minste de volgende taken vervullen:

• informeren van het management over verplichtingen uit de AVG;
• adviseren van het management over verplichtingen uit de AVG, waaronder over privacy impact assessments;
• toezien op naleving van de AVG en het interne privacybeleid;
• toewijzen van privacygerelateerde verantwoordelijkheden binnen de organisatie;
• bewustmaking van het personeel van de bescherming van persoonsgegevens;
• opleiding van het personeel;
• samenwerken met de Autoriteit Persoonsgegevens; en
• optreden als contactpersoon voor de Autoriteit Persoonsgegevens en betrokkenen van wie de organisatie persoonsgegevens verwerkt.

Het uitgebreide takenpakket impliceert dat de FG van allerlei markten thuis moet zijn. Hij moet zeer deskundig zijn op het gebied van wetgeving en de praktijk inzake gegevensbescherming. Ook zal hij grondige kennis moeten hebben op het gebied van IT, communicatie, bedrijfsprocessen, organisatieadvies en het geven van opleidingen. Naast zijn inhoudelijke capaciteiten zal de FG verder − gezien de eis van onafhankelijkheid − sterk in zijn schoenen moeten staan. Dergelijke veelpotige schapen zijn schaars op de arbeidsmarkt, zoals ondergetekende Miranda Top-Sarneel in een interview over de FG al aan de orde stelde. Het aanstellen van een FG-team, waarbinnen meerdere personen werkzaam zijn, kan hiervoor een oplossing zijn. Het is dan wel zaak om de precieze verdeling van taken en aansturing van verantwoordelijkheden goed vast te leggen of uit te besteden. Indien u wilt weten of uw organisatie onder de toekomstige privacywetgeving een FG dient aan te stellen en hoe deze aanstelling vorm kan te krijgen, neem dan contact op met het IT- en privacy team van Ploum. Miranda Top-Sarneel zal op 16 mei 2017 tijdens het IIR-congres ‘Voorbereidingen Algemene Verordening Gegevensbescherming’ een break-outsessie verzorgen over de taken en de rol van de FG. Voor dit evenement kunt u zich nog aanmelden.