#6: Een Privacy Officer benoemen

In de AVG (GDPR) staat een nieuwe verplichting: het aanstellen van een Data Protection Officer ("DPO"). In het Nederlands heet dit een Functionaris voor Gegevensbescherming ("FG").

Betekent het aanstellen van een privacy officer/data protection officer of het uitbreiden van het takenpakket van een compliance officer dat uw onderneming voldoet aan de privacywetgeving? Kort gezegd, nee. Kan het uw onderneming helpen om compliant te worden? Ja, dat wel.

Moet een DPO/FG in dienst zijn? Nee. U kunt ook een externe partij vragen om uw DPO te zijn. Wij zijn u graag van dienst bij het invullen van deze functie!

In deze stap gaan we in op de veel voorkomende vragen rond de nieuwe functie van een privacy officer. Klik hieronder op de onderwerpen voor de antwoorden.

  • Wat is een FG of een DPO?

    Een functionaris voor de gegevensbescherming ("FG") is een taak die in de wet, in de Wbp, staat omschreven. Volgens art 62 Wbp is een FG iemand die door een verantwoordelijke (het bedrijf) of brancheorganisatie is aangewezen. DDMA heeft bijvoorbeeld een FG voor de direct marketingbranche. Het aanstellen van een FG is geen verplichting. Een organisatie mag zelf kiezen of er een FG wordt aangesteld.

    Een Data Protection Officer is de Engelse term voor een FG. De nieuwe Europese Verordening, de Algemene Verordening Gegevensbescherming ("AVG" of in het Engels: "GDPR") is in het Engels opgesteld. Tegenwoordig wordt dus ook gesproken over een DPO als men een FG bedoelt. 

    De AVG bepaalt in art 37 ook, net als nu in de Nederlandse wet, de Wbp, dat een FG een persoon is die door de verantwoordelijke of brancheorganisatie is aangewezen. Dit verandert niet. Nieuw is dat het aanstellen van een FG in sommige gevallen wél een verplichting wordt! Nieuw is ook dat de verplichting om een FG aan te stellen ook voor bewerkers kan gelden. De taakomschrijving van de FG is ook duidelijker bepaald in de AVG, zie hierna bij de taken van de FG/DPO en bevoegdheden van de FG/DPO.

  • Wat is een Privacy Officer of een Compliance Officer?

    Een FG en DPO zijn titels voor een wettelijke functie. In de wet (AVG) staat wanneer een FG/DPO moet worden aangesteld én wat zijn taken zijn. 

    Een organisatie die straks géén verplichting heeft om een FG of DPO aan te stellen, kan er voor kiezen om toch een functie te creëren voor een privacy-specialist. Deze zal dan een Privacy Officer, Compliance Officer, bedrijfsjurist of Legal counsel worden genoemd. Dit is een werknemer of consultant (freelance, opdrachtnemer) die zich binnen de organisatie specifiek bezig houden met privacy (naleving van de AVG of in het Engels: GDPR) of met het naleven van wetgeving in het algemeen. 

    Om het ingewikkeld te maken, is het natuurlijk ook mogelijk om een Privacy Officer, Compliance Officer of Legal Counsel in dienst te hebben die tegelijkertijd óók een FG of DPO is in de zin van de AVG. 

    In feite is deze situatie vergelijkbaar met het zijn van directeur van een organisatie. Niet iedereen met de titel directeur is ook (statutair) bestuurder, maar het kan wel zo zijn. Bestuurder of statutair bestuurder is een titel gebaseerd op een wet (Burgerlijk Wetboek, boek 2) en is gebaseerd op een aanstelling door de aandeelhouders. Het zijn van directeur is echter ook een titel die aan een werknemer gegeven kan worden.

  • Wanneer moet u verplicht een DPO of FG aanstellen?

    De verplichting om in specifieke situaties een Data Protection Officer aan te stellen staat in de nieuwe Privacy Verordening (AVG).

    In de tekst van de wetsvoorstellen stond eerst dat bedrijven met "meer dan 250 werknemers" of bedrijven die "persoonsgegevens van meer dan 5.000 betrokkenen per 12 maanden verwerken" verplicht zijn een DPO/FG aan te stellen. Deze criteria zijn geschrapt.

    De criteria waarbij een organisatie verplicht is om een DPO te benoemen zijn volgens de AVG:

    • de organisatie is een publieke organisatie (overheid),
    • bij het gebruik van de gegevens is sprake van op grote schaal reguliere en systematische monitoring van betrokkenen (denk aan profileren en tracking),
    • wanneer het gebruik van de gegevens hoofdzakelijk het op grote schaal verwerken van bijzondere persoonsgegevens betreft. Dit zijn gegevens over o.a. ras, gezondheid, biometrische of genetische gegevens, politieke voorkeur of godsdienst of seksuele gedrag of gerichtheid. 

    Deze verplichting geldt ook voor partijen die bewerker zijn!
    De artikel 29 Werkgroep heeft in Guidelines toegelicht wanneer een DPO verplicht is. Hierbij hoort ook een FAQ lijst. Deze kunt u hieronder lezen.

    Download: WG29 Guidelines over het aanstellen van een DPO.pdf WG29 FAQ over het aanstellen van een DPO.pdf

  • Wat is de positie van een FG/DPO?

    Op dit moment bestaat dus alleen de wettelijk omschreven functie van een FG. De taak van een FG is om op onafhankelijke wijze toezicht uit te oefenen op de naleving van de Wbp binnen een organisatie of een branche. Een FG heeft een adviserende rol tegen over de verantwoordelijke (de organisatie, het bedrijf). Om zijn taak uit te oefenen dient een FG wel toegang te hebben tot alle gegevens en systemen. U kunt de FG dus zien als een adviseur van het bestuur van een organisatie. Uiteindelijk is het de bestuurder van een organisatie die beslist of het advies wordt opgevolgd of niet.

    De FG rapporteert dus niet aan de toezichthouder, maar adviseert het bestuur van een organisatie.

    Dit verandert niet in de nieuwe Privacy Verordening (AVG). Sterker nog, de positie van de FG wordt uitgebreider omschreven. Er is een apart artikel over de positie van de DPO/FG en ook een apart artikel over de taken. De DPO/FG kan een werknemer zijn, maar kan ook op basis van een opdrachtovereenkomst werken. In het laatste geval mag er geen belangenconflict zijn.

    Een DPO/FG onder de AVG heeft ontslag bescherming. Ook is het niet toegestaan om instructies over de uitvoering van de taken te geven aan de DPO/FG.

  • Wat is de positie van een Privacy Officer of een Compliance Officer?

    Als geen sprake is van een aanstelling van een DPO/FG op grond van de wet of de Verordening, dan spreekt men over een Privacy Officer of een Compliance Officer. Deze functie is niet gebaseerd op een wettelijke taak, maar is een titel van een werknemer of adviseur binnen een organisatie.

    De werkgever en werknemer kunnen dus zelf een taakomschrijving maken. Dit geldt ook als sprake is van een opdrachtgever - opdrachtnemer relatie. Ook mogen er wel instructies worden gegeven bij de uitvoering van de taak. De ontslagbescherming geldt niet voor de  privacy officer die niet op grond van de AVG is aangesteld.

    In de praktijk is het praktisch om voor de taken wel aan te sluiten bij de omschrijving uit de nieuwe Privacy Verordening, AVG. Deze taken zijn bijvoorbeeld het trainen van personeel, het uitvoeren of begeleiden van PIA's en het adviseren van het bestuur.

  • Wat zijn de taken van een FG/DPO?
    Volgens de Wbp moet de FG:
    • jaarlijks een verslag maken van zijn bevindingen;
    • toezien op de verwerking van persoonsgegevens;
    • indien er een gedragscode van toepassing is (binding corporate rules) dan ziet de FG ook toe op naleving hiervan;
    • aanbevelingen doen aan de verantwoordelijke (bestuur van de onderneming). Dit is geen verplichting maar een bevoegdheid.

    De nieuwe Privacy Verordening (AVG) maakt de taken concreter. Na invoering van deze Algemene Verordening Gegevensbescherming moet een DPO/FG:
    • de verantwoordelijke of bewerker en de werknemers die persoonsgegevens verwerken, informeren en adviseren over hun verplichtingen op grond van alle privacy regelgeving;
    • toezien op de naleving van alle privacy regelgeving;
    • toezien op de naleving van het beleid van de verantwoordelijke of de bewerker, met inbegrip van de toewijzing van verantwoordelijkheden;
    • bewustmaking en opleiding van het bij de verwerking betrokken personeel;
    • toezien op de naleving van de betreffende audits;
    • op verzoek verstrekken van advies met betrekking tot PIA’s en toezien op de uitvoering ervan;
    • toezien op het gevolg dat aan verzoeken van de toezichthoudende autoriteit (dit kan de Autoriteit Persoonsgegevens zijn, maar ook een autoriteit uit een andere lidstaat) wordt gegeven;
    • het binnen de grenzen van de bevoegdheid van FG verlenen van medewerking aan de toezichthoudende autoriteit op diens verzoek op op eigen initiatief;
    • optreden als contactpunt voor de toezichthoudende autoriteit of overleg plegen met de toezichthoudende autoriteit.

  • Aan wie rapporteert de FG/DPO?

    Een FG of DPO die volgens de wet is aangesteld, moet volgens deze zelfde wet (Wbp of Verordening) rapporteren aan de verantwoordelijke. In de nieuwe Privacy Verordening (AVG) staat zelfs dat moet worden gerapporteerd aan de hoogst leidinggevende van de verantwoordelijk of bewerker. Dit betekent dat de FG of DPO een boardroom functie is. Er wordt gerapporteerd aan de directie. Maar, de FG/DPO mag geen instructies krijgen bij de uitvoering van de taken. De FG/DPO aangesteld onder de nieuwe Verordening mag ook niet worden ontslagen of gestraft voor de uitvoering van de taken.

    Een niet officiële FG of DPO, bijvoorbeeld een Compliance Officer of een gewone werknemer met de titel Privacy Officer, rapporteert aan zijn/haar direct leidinggevend. Dit betreft een afspraak die wordt gemaakt in de arbeidsovereenkomst of overeenkomst van opdracht. Hier geldt dus geen ontslagbescherming en mogen er wel instructies worden gegeven.

  • Moet de FG/DPO een werknemer zijn?

    Nee. De verplicht aan te stellen FG/DPO op grond van de AVG hoeft geen werknemer te zijn.

    Een FG of Data Protection Officer kan een werknemer zijn, dit hoeft niet. Een FG of DPO kan ook worden aangesteld op grond van een dienstverleningscontract. Een overeenkomst van opdracht. Ook een privacy consultant of een privacy advocaat kan voor deze taak worden aangesteld. Er mag alleen geen belangenverstrengeling zijn, maar hier voeren advocaten per definitie een check op uit voordat ze een opdracht mogen aanvaarden. Wij vervullen deze functie graag voor u!

  • Is FG/DPO of Privacy Officer een fulltime functie?

    Het is niet verplicht om een FG/DPO of Privacy Officer op fulltime basis aan te stellen. 

    Nu niet en de eventueel verplicht aan te stellen FG/DPO mag ook parttime werken.

    Een FG of DPO kan zijn of haar taak parttime uitvoeren. Dit geldt ook voor de niet op grond van de wet aangestelde Privacy Officer. Zo kan een werknemer de taak naast andere taken uitvoeren (zolang er geen belangenverstrengeling is). Een advocaat of consultant kan op basis van een opdracht overeenkomst of in een abonnementsvorm de taak uitvoeren.Wij vervullen deze functie graag voor u!

  • Is de FG/DPO een verlengstuk van de toezichthouder?

    Nee.

    De FG of DPO is niet een soort “wie is de mol” binnen uw organisatie. De FG of DPO ondersteunt, assisteert en adviseert de verantwoordelijke of de bewerker door wie hij of zij is aangesteld.

    De FG of DPO is wel de contactpersoon voor de toezichthouder (per 1 januari 2016 de Autoriteit Persoonsgegevens), maar handelt dan namens de organisatie die hem of haar heeft aangesteld. Voor de FG of DPO geldt ook een geheimhoudingsplicht inzake hetgeen op grond van een klacht of een verzoek van betrokkene aan hem of haar bekend is geworden.

  • Aan welke eisen moet de persoon voldoen die FG/DPO is?

    Volgens de Wbp moet een FG:

    • een natuurlijke persoon zijn. Deze eis wordt wel vaker gesteld, ook voor een commissaris van een vennootschap bijvoorbeeld; 
    • een natuurlijke persoon zijn die over toereikende kennis beschikt voor de taakuitoefening,
    • en die voldoende betrouwbaar kan worden geacht.

    Na de invoering van de AVG moet een FG/DPO:
    • beschikken over professionele kwaliteiten,
    • deskundig zijn op het gebied van de wetgeving en de praktijk inzake gegevensbescherming,
    • en dient een eventueel belangenconflict met andere taken te ontbreken.

Meer informatie over uw specifieke situatie? Wij helpen u graag verder