Data Protection Officer als privacyhoeder

avglogo.png
Redactie
Feb 02, 2018

De General Data Protection Regulation (GDPR) zit er aan te  komen. Met de verplichting om een specifieke functionaris aan te wijzen.  Die moet functioneren in een rol tussen trusted advisor en interne  toezichthouder.

In heel Europa bereiden organisaties zich  voor op de nieuwe EU Algemene Verordening Gegevensbescherming (AVG) die  op 25 mei 2018 in werking treedt. De wet staat ook wel bekend als de EU  General Data Protection Regulation (GDPR). De AVG, in het leven  geroepen ter bescherming van persoonsinformatie van klanten en burgers  in een groeiende digitale wereld, heeft een grote impact op de bestaande  bedrijfsvoering. De wet geldt voor alle organisaties die  persoonsgegevens verwerken. De Autoriteit Persoonsgegevens (AP) wordt  steeds krachtiger en gaat hierop toezicht houden. De AP heeft de  bevoegdheid hoge boetes op te leggen. Bovendien kunnen bestuurders  hoofdelijk aansprakelijk worden gesteld bij nietnaleving. Genoeg reden  om actie te ondernemen dus.

Specifieke functionaris die de organisatie bijstaat

Mits  de functie van data protection officer goed is ingeregeld en juist  bemand, kan dit de komende tijd weleens een heel waardevol bezit worden  voor uw organisatie.

Sommige gegevensverwerkingen brengen  zelfs zoveel privacy- en informatiebeveiligingsrisico’s met zich mee,  dat u verplicht bent een specifieke functionaris aan te wijzen die uw  organisatie bijstaat in het interne toezicht op de naleving van de AVG.  Dit is de Functionaris Gegevensbescherming (FG), ofwel de Data  Protection Officer (DPO). Mits deze functie goed is ingeregeld en juist  bemand, kan dit de komende tijd weleens een heel waardevol bezit worden  voor uw organisatie. De DPO kan uw organisatie zelfs behoeden voor  incidenten, boetes, datalekken en bijbehorende reputatieschade. De DPO  kan worden gezien als een species van de bij veel financiële  instellingen reeds aanwezige functie van Compliance Officer. De DPO  richt zich daarbij specifiek op privacy- en  informatiebeveiligingsvraagstukken en de implementatie van de AVG. De  DPO zal er in veel organisaties niet alleen voor staan om de AVG te  implementeren. Zo zal de DPO om zich heen projectmanagers, juristen,  riskmanagers en auditors verzamelen om hiermee aan de slag te gaan de  komende tijd.

Alle afdelingen binnen organisaties waar  persoonsgegevens worden verwerkt, krijgen met de AVG te maken. Dit geldt  dus zowel voor de marketingafdeling, de financiële afdeling als de  backoffice. De DPO moet dus veel verbindingen leggen om overzicht te  krijgen waar persoonsgegevens worden verwerkt.

Taken en bevoegdheden van de functionaris

De  DPO heeft vanuit de AVG een aantal wettelijke taken en bevoegdheden  gekregen om zijn functie uit te oefenen. Belangrijk element hierin is  dat de DPO de business adviseert op het terrein van privacy- en  informatiebeveiligingsvraagstukken en tegelijkertijd hier toezicht op  houdt. Om effectief te zijn is de uitdaging van de DPO om een balans te  vinden tussen de rol van trusted advisor en interne toezichthouder.

De verordening voorziet in een vorm van ontslagbescherming voor de DPO

Om de functie kracht bij te kunnen zetten en de functionaris als countervailing power te  kunnen laten optreden, voorziet de AVG in een vorm van  ontslagbescherming voor de DPO. Deze bescherming is enigszins  vergelijkbaar met die van een OR-lid. Daarnaast dient de functie van de  DPO op zodanige wijze te zijn ingericht dat deze onafhankelijk kan  opereren en kan rapporteren aan de hoogste leidinggevende in een  organisatie.

De DPO is onder meer betrokken bij de uitvoering van  Privacy Impact Analyses (PIA’s) en het in kaart brengen van een register  van alle verwerkingsactiviteiten van persoonsgegevens. Daarnaast heeft  hij als uitdagende taak een cultuur te kweken waarin integere  gegevensverwerking en transparantie centraal staan. Te denken valt  hierbij aan het geven van opleidingen, trainingen en workshops. Ook zal  hij controleren of voldoende invulling wordt gegeven aan de nieuwe  rechten van burgers en klanten om hun persoonsgegevens te vergeten (right to be forgotten),  over te dragen en/of in te zien. De toestemmingsvereisten uit de AVG om  persoonsgegevens te mogen verwerken (opt-in) vragen ook aandacht.

Wettelijke verplichting

De  AVG zegt dat een DPO verplicht is daar waar organisaties in hun  kernactiviteiten zijn belast met verwerkingen die vanwege hun aard,  omvang en/of doeleinden regelmatige en stelselmatige observatie op grote  schaal vereisen van betrokkenen (onder andere burgers/klanten). Ook  daar waar grootschalige verwerking van bijzondere (gevoelige)  persoonsgegevens, zoals gezondheidsgegevens en strafrechtelijke  gegevens, onderdeel is van de kernwerkzaamheden, is een DPO verplicht.  Deze regels bevatten allerlei abstracte begrippen. Vragen die  onmiddellijk rijzen bij het lezen van deze regels zijn: wat zijn  kernactiviteiten en wat is een grootschalige verwerking? Om duidelijk te  krijgen wat dit concreet betekent, behoeven deze aspecten nog  interpretatie de komende tijd.

Er is door een Europese werkgroep  (Working Party Art. 29) een richtlijn uitgegeven met verdere  interpretaties over de DPO-functie waarin ook wordt ingegaan op deze  abstracte begrippen. Duidelijk is in ieder geval dat banken en  verzekeraars die op reguliere basis persoonsgegevens verwerken vallen  onder het criterium van een grootschalige verwerking. Financiële  instellingen die bijvoorbeeld internetgebruik volgen en op basis daarvan  profileren of instellingen die witwassen detecteren en/of  betalingsgedrag monitoren, vallen ook al snel onder de verplichting van  het aanstellen van een DPO.

Ondanks  deze relatieve onduidelijkheid de komende tijd, blijft het toch een  verplichting voor organisaties om, daar waar dat op basis van de  criteria nodig is, per 25 mei 2018 een dergelijke functionaris aan te  stellen.

Werk aan de winkel

Ondanks  deze relatieve onduidelijkheid de komende tijd, blijft het toch een  verplichting voor organisaties om, daar waar dat op basis van de  criteria nodig is, per 25 mei 2018 een dergelijke functionaris aan te  stellen. Ook als er geen DPO nodig is naar de eigen beoordeling, dan  dient dit, samen met de redenen hiervoor, gedocumenteerd te worden. Er  is dus sowieso werk aan de winkel. De AVG strekt zich niet alleen uit  tot financiële instellingen maar ook tot verwerkers van uw  persoonsgegevens in de klantketen en bij uitbestedingspartijen. Ook zij  moeten zich afvragen of er wel of niet een DPO verplicht is bij het  verwerken van de persoonsgegevens die zij namens uw organisatie  verwerken.

Los van de vraag of een DPO wettelijk verplicht is, is  het op basis van de AVG ook mogelijk op vrijwillige basis een DPO aan te  wijzen. Het is raadzaam dit te doen omdat dit zorgt voor voldoende en  structurele aandacht voor privacy- en informatiebeveiliging. Het levert  een belangrijke bijdrage aan de eis om aantoonbaar te maken dat de  organisatie compliant is. Dit zowel richting klanten, als naar externe  stakeholders zoals samenwerkingspartijen in de keten en richting de AP  als toezichthouder. Overigens hebben veel grote organisaties reeds een  DPO aangewezen.

De juiste DPO vinden

Als  het duidelijk is dat een DPO nodig of verplicht is, dient de juiste  persoon voor de functie te worden gevonden. Om deze functie goed te  kunnen uitoefenen moet de DPO minimaal verstand hebben van IT, business  (processen) en juridisch onderlegd zijn en kennis en ervaring hebben.  Ook moet de DPO beschikken over de juiste competenties zoals  inlevingsvermogen en moed. Intern zijn deze personen vaak best lastig te  vinden. Partijen mogen er op basis van de AVG ook voor kiezen om een  externe DPO aan te stellen of zelfs voor een soort (abonnements)service  te kiezen.

Bron: https://executivefinance.nl

Similar Post