Data Protection Officer ofwel Functionaris Gegevensbescherming
Data Protection Officer ofwel Functionaris Gegevensbescherming binnen de AVG
In dit artikel ga ik verder in op de Algemene Verordening Gegevensbescherming (AVG). In een eerder artikel schreef ik dat er binnen de AVG voor sommige organisaties een verplichting ontstaat om een Data Protection Officer (DPO) aan te stellen.
Voor welke organisaties gaat dit op?
Op grond van de AVG zijn vanaf 25 mei 2018 alle overheidsinstanties en overheidsorganen (behalve rechtbanken) verplicht om een Data Protection Officer aan te stellen. Deze functie wordt ook wel betiteld als Functionaris voor de Gegevensbescherming (FG). Ook voor sommige andere typen organisaties wordt dit een verplichting. Wanneer je als organisatie gegevens verwerkt waarvan de aard van de verwerking (zoals het soort gegevens, het doel, de reikwijdte, grootschalige en stelselmatige monitoring van betrokkenen) hiertoe aanleiding geeft of in geval van grootschalige verwerking van bijzondere gegevens, moet je een DPO aanstellen. Elke andere organisatie is in principe vrij om een DPO aan te stellen. De AVG geeft geen verdere definitie van wat er onder ‘op grote schaal’ moet worden verstaan. In overweging 91 van de AVG wordt er hiervoor wel een handvat geboden. Cijfermatige hoeveelheden (zoals de soms gehoorde 250 of meer medewerkers) worden niet genoemd.
Is het nu Data Protection Officer of Functionaris Gegevensbescherming?
De Data Protection Officer is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG. Data Protection Officer is de Engelse term voor een Functionaris Gegevensbescherming (FG). In het vervolg hanteer ik dan ook de Nederlandse benaming “Functionaris Gegevensbescherming”.
Wel of niet een FG aanstellen, leg je motivatie vast!
Tenzij het duidelijk is dat een organisatie niet verplicht is om een FG aan te wijzen, raadt de Artikel 29-werkgroep verantwoordelijken en verwerkers aan om een interne analyse vast te leggen om te bepalen of er al of niet een FG aangewezen moet worden. Dit om aan te kunnen tonen dat met de betreffende factoren goed rekening is gehouden. De Artikel 29-werkgroep is het onafhankelijke advies- en overlegorgaan van Europese privacytoezichthouders waaronder de Autoriteit Persoonsgegevens (AP).
Artikel 37 AVG geldt voor de aanwijzing van een FG voor zowel verantwoordelijken als voor verwerkers. Afhankelijk van wie er aan de vereisten voor een verplichte aanwijzing voldoet, is dit in sommige gevallen alleen de verantwoordelijke of alleen de verwerker en zijn in andere gevallen zowel de verantwoordelijke als de verwerker verplicht een FG aan te wijzen.
Aan welke vereisten dient een Functionaris Gegevensbescherming te voldoen en wat is zijn taak?
Art 37 lid 5 Avg stelt: “De functionaris voor gegevensbescherming wordt aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen de in artikel 39 bedoelde taken te vervullen”. Overweging 97 AVG vult hierop aan dat het vereiste niveau van deskundigheid met name dient te worden bepaald op grond van de uitgevoerde gegevensverwerkingen en de bescherming die voor de door de verantwoordelijke of de verwerker verwerkte gegevens vereist is.
Qua profiel kan worden gedacht aan een jurist met IT kennis.
De FG is een onafhankelijk persoon die toeziet op de algemene kwaliteit van het beleid betreffende de bescherming van persoonsgegevens in een organisatie. De FG heeft daarnaast een adviserende taak en dient de verantwoordelijke of verwerker en de werknemers die persoonsgegevens verwerken, te informeren en te adviseren over hun verplichtingen op grond van alle privacy regelgeving. De FG is proactief bezig met de bewustmaking van het bij de verwerking betrokken personeel en kan de verantwoordelijke van nut zijn bij de betreffende audits en de Privacy Impact Assessments (PIA’s). De taken voor deze FG staan volledig opgesomd in art. 39 Avg.
Het gegeven dat de FG erop moet toezien dat de AVG nageleefd wordt, wil niet zeggen dat hij persoonlijk verantwoordelijk is wanneer hier niet aan voldaan wordt. De AVG maakt in art. 24 lid 1 duidelijk dat niet de FG, maar de verantwoordelijke de verplichting heeft om “passende technische en organisatorische maatregelen te treffen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd”. Naleving van regels op het gebied van gegevensbescherming is een bedrijfsverantwoordelijkheid van de verantwoordelijke en niet van de FG.
Een Functionaris Gegevensbescherming kun je ook inhuren
Een FG kan een werknemer in loondienst zijn maar dit is geen vereiste. Een FG kan ook worden aangesteld op grond van een dienstverleningsovereenkomst. Afhankelijk van de omvang en complexiteit kan ook een team van specialisten worden ingezet. Hierbij is het raadzaam dat er één contactpersoon de leiding neemt en als FG wordt benoemd.