Data Protection Officer/Privacy Officer/Functionaris gegevensbescherming

Vanaf de invoering van de nieuwe Europese Privacywetgeving (Algemene Verordening Gegevensbescherming of AVG, General Data Protection Regulation, of GDPR) per 25 mei 2018 zijn bepaalde organisaties verplicht een zogenaamde ‘Functionaris Gegevensbescherming’ (FG) aan te wijzen. Voor deze formele naam wordt ook wel “Data Protection Officer of Privacy Officer” gebruikt.   Daar waar het niet verplicht is kan het soms toch verstandig zijn dit wel te doen.

Wanneer is een Data Protection Officer (DPO), Privacy Officer of Functionaris Gegevensbescherming verplicht?

Wanneer er sprake is van een overheidsorgaan of privaatrechtelijke organisatie die overheidstaken verrichten. Hierbij kan worden gedacht aan openbaar vervoer, water- en energievoorziening, huisvesting, etc. Of;
Wanneer hoofdzakelijk (als ‘kerntaak’*) verwerkingen worden uitgevoerd die regelmatige, stelselmatige observatie van betrokkenen op grote schaal** Hierbij kan worden gedacht aan ziekenhuizen, of daaraan te relateren zorgverleners, een beveiligingsbedrijf maar ook het voor statistische doeleinden verwerken van actuele locatiegevens van klanten, verwerking van klantgegevens, de verwerking van persoonsgegevens door het tonen van advertenties op basis van internetgedrag, etc. Nb: observatie en profilering van internetgedrag moet worden gezien als slechts één voorbeeld. Of;
Wanneer hoofdzakelijk grootschalige verwerkingen worden uitgevoerd van bijzondere categorieën van gegevens of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten. Bijzondere Persoonsgegevens zijn o.a. raciale of etnische achtergrond, gegevens over de gezondheid, politieke opvattingen, etc.

*In de richtlijnen voor functionarissen voor de gegevensbescherming van artikel 29-werkgroep van de Europese privacytoezichthouders wordt de nadere invulling van deze rol toegelicht. Zo wordt onder ‘kerntaken’ verstaan: “..de belangrijkste handelingen die nodig zijn om het doel van de verantwoordelijke of verwerker te bereiken.” Als het echter niet mogelijk is deze kerntaak uit te voeren zonder verwerking van persoonsgegevens (zoals bijvoorbeeld bij een ziekenhuis), dient dat tóch als een kerntaak gezien te worden.

**Voor verwerkingen op grote schaal wordt uitgelegd dat dit bijvoorbeeld níet de verwerking van persoonsgegevens door een individuele arts of advocaat betreft.

Is er sprake van een klein familiebedrijf die gebruik maakt van de webanalysediensten voor advertenties en marketing, dan hoeft het familiebedrijf géén functionaris aan te stellen en de aanbieder van webanalyse diensten wél. Deze heeft namelijk veel klanten als de kleine familieonderneming.

Vanaf de invoering van de nieuwe Europese Privacy wetgeving (Algemene Verordening Gegevensbescherming of AVG) per 25 mei 2018 zijn bepaalde organisaties verplicht een zogenaamde ‘Functionaris Gegevensbescherming’ (FG) aan te wijzen. Daar waar het niet verplicht is kan het toch verstandig zijn dit wel te doen.

Aan welke eisen moet een Data Protection Officer (DPO), Privacy Officer of Functionaris gegevensbescherming voldoen?

Alhoewel niet specifiek wordt aangegeven welke kennis en kunde verplicht of van belang zijn, wordt door de autoriteit persoonsgegevens aangegeven dat:

Goede bekendheid met de nationale en Europese gegevensbeschermingswetten en diepgaande kennis van de Algemene Verordening Gegevensbescherming
Kennis van de bedrijfstak en desbetreffende organisatie
Inzicht in de gegevensverwerking en informatiesystemen en
Kennis van veiligheid en informatiebeveiliging, de zaken zijn waar een dergelijke functionaris aan zou moeten kunnen voldoen.

Mag deze Data Protection Officer (DPO), Privacy Officer of Functionaris gegevensbescherming ook worden gecombineerd met een bestaande functie?

De wet verbiedt niet dat deze functie gecombineerd met een andere functie wordt uitgevoerd. Echter moet er wel aan een aantal voorwaarden worden voldaan:

Er mogen geen instructies worden ontvangen over de uitvoering van de taken. In een aparte overweging wordt daaraan toegevoegd dat de FG/DPO/PO “in staat dienen te zijn hun taken en verplichtingen onafhankelijk te vervullen, ongeacht of zij in dienst zijn van de verantwoordelijke.” Hierbij blijft de verantwoordelijke verantwoordelijk voor de naleving van de privacywetgeving en moet deze kunnen aantonen dat deze wet wordt nageleefd.
Zij mogen niet ontslagen of gestraft worden voor de uitvoering van taken.
Zij dienen de benodigde middelen verstrekt te krijgen voor de uitoefening van taken zoals:
Actieve ondersteuning door het hogere management.
Voldoende tijd.
Voldoende steun qua financiële middelen, infrastructuur (faciliteiten, apparatuur).
De vereiste toegang tot andere diensten.
Doorlopende training.
De uitvoering van de andere taken of plichten (anders dan functionaris), mogen niet leiden tot een belangenconflict. Dit betekent bijvoorbeeld dat deze geen positie in de organisatie mag hebben die – mede – besluit over ‘het doel van en de middelen voor het verwerken van persoonsgegevens…’

In de praktijk betekent dit naar mening van NewDay dat het laten uitvoeren van deze rol in een interne gecombineerde functie voor (latente) mismatches met deze uitgangspunten kan zorgen. Indien mogelijk, kan het verstandig zijn dit te voorkomen.

Welke ‘middelen’ dienen ter beschikking te staan van de Data Protection Officer (DPO), Privacy Officer of Functionaris gegevensbescherming?

De nieuwe wet vereist dat de organisatie de FG,DPO,PO ondersteunt door toegang te geven tot de persoonsgegevens en de verwerking daarvan en hem de ‘benodigde middelen’ ter beschikking stelt voor het vervullen van zijn taak en het in stand houden van zijn deskundigheid. Dit betekent bijvoorbeeld:

Dat hem – bij een dubbelfunctie – voldoende tijd wordt gegeven zijn taken uit te voeren.
Dat hij voldoende steun krijgt qua financiën, faciliteiten en – indien nodig – personeel.
Dat hij toegang heeft tot alle andere diensten/afdelingen.

In het algemeen wordt gesteld dat hoe complexer en/of gevoeliger de verwerkingen zijn, hoe meer middelen de DPO/PO/FG geboden dienen te worden.

Hoe gaat een mkb-organisatie de rol van de Data Protection Officer (DPO), Privacy Officer of Functionaris gegevensbescherming adequaat invullen?

Voor veel organisaties die vanwege deze nieuwe wet een Data Protection Officer (DPO), Privacy Officer of Functionaris gegevensbescherming, nodig hebben kan het lastig zijn deze goed en bedrijfseconomisch verantwoord in te vullen:

Er zijn vanwege de omvang/complexiteit niet voldoende werkzaamheden om Data Protection Officer (DPO), Privacy Officer of Functionaris gegevensbescherming part-time of full-time werkzaamheden aan te bieden.
De Data Protection Officer (DPO), Privacy Officer of Functionaris gegevensbescherming komt binnen een kleinere organisatie sneller op een ‘eiland te staan’ waardoor het voor diegene lastig is zijn/haar kennis goed bij te houden.
Zoals hierboven aangegeven bij de vraag welke kennis een Data Protection Officer (DPO), Privacy Officer of Functionaris gegevensbescherming, nodig heeft, is dit feitelijk een combinatie van diverse kennisgebieden: wet- en regelgeving, informatiebeveiliging, automatisering en bedrijfsprocessen. Het is in de praktijk lastig om iemand te vinden die al deze kennis in voldoende mate kan combineren in één persoon. En meerdere personen aannemen of separaat gefragmenteerd derden inhuren kan een kostbaar worden.
Als er vervolgens toch een onverhoopt incident optreedt bijvoorbeeld in de vorm van een datalek, moet vaak er allerlei specialistische kennis worden ingehuurd; juristen, informatiebeveiligingsspecialisten, IT-auditors, data-analisten, cybersecurityspecialisten (ethical hackers). Dit kan zeer kostbaar worden. Het is mogelijk om een verzekering te sluiten tegen de kosten van dit ‘onzeker onheil”, maar dan moet het ook achteraf wel een onzeker onheil blijken en mag het niet zo zijn dat achteraf blijkt dat de verzekeraar feitelijk een ‘brandend huis’ heeft verzekerd omdat er géén sprake bleek te zijn van ‘passende organisatorische en technische maatregelen”.

NewDay biedt een passende oplossing voor mkb-organisaties die een externe invulling van hun de Data Protection Officer (DPO), Privacy Officer of Functionaris gegevensbescherming

Eerst stellen wij vast in hoeverre uw organisatie geraakt wordt door deze wet.
Vervolgens toetsen wij of u aan de wet voldoet én of u de juiste maatregelen heeft genomen om de persoonsgegevens te beschermen.
Indien noodzakelijk gaan wij samen met u ervoor zorgen dat u aan de wet voldoet en dat u aantoonbaar passende maatregelen neemt. U wordt dat als het ware ‘privacy proof’.

Deze eerste 3 stappen zijn nog niet zo uniek. De volgende op dit moment wel:

Nadat uw organisatie ‘privacy proof’ is kunnen wij als NewDay de rol van de Data Protection Officer (DPO), Privacy Officer of Functionaris gegevensbescherming voor u gaan vervullen:

Dit doen wij als NewDay en niet met één collega van ons. U krijgt een team van juristen, informatiebeveiligingsdeskundigen, cybersecurityspecialisten en data-analisten in de omvang zoals op dat moment nodig is voor het realiseren van de oplossing. U huurt ons dus niet te veel in én heeft up-to-date specialistische kennis in huis.
Wij doen dat voor een vaste hoeveelheid uren per week/maand.
U betaalt hiervoor een vast bedrag per maand.
Als er onverhoopt een incident optreedt en er meer specialistische kennis moet worden ingezet, zit dat in de vaste prijs per maand. U weet dus waar u aan toe bent.

Wij noemen dit ‘privacy proof as a service’ en ontzorgen u hiermee adequaat en kostenverantwoord.

De nieuwe Europese Privacywetgeving (Algemene Verordening Gegevensbescherming of AVG, General Data Protection Regulation, of GDPR) voorziet hier ook in en maakt het mogelijk om de functie van Data Protection Officer (DPO), Privacy Officer of Functionaris gegevensbescherming in te vullen via een zogenaamd ‘service contract’ met een natuurlijk persoon of organisatie buiten de organisatie van de verantwoordelijke/verwerker.

Wat is het voordeel van het hebben van een Data Protection Officer (DPO), Privacy Officer of Functionaris gegevensbescherming?

Naar onze mening zullen mensen en organisaties steeds meer hun besluitvorming laten beïnvloeden door de vraag in welke mate het privacy risico aantoonbaar is afgedekt. Kopen ouders nog kinderspeelgoed bij een organisatie waarbij gebruikersaccounts van hun kinderen zijn gelekt? Besteden organisaties nog werkzaamheden uit als deze geen zekerheid wil geven over ‘passende maatregelen”? Het hebben van een Functionaris Gegevensbescherming – verplicht of niet – geeft uw organisatie waarborgen waar u klanten, partners en andere belangengroepen wellicht in toenemende mate waarde aan zullen hechten. Dit – los van de in sommige gevallen wettelijke verplichting – zou weleens de belangrijkste reden voor het aanstellen van een FG kunnen zijn.