#6: Uzelf als DPO

Met het actueler worden van “privacy” en “bescherming persoonsgegevens” ontstaan binnen organisaties ook speciale functies en taken die hierop zijn gericht.

In alle gevallen dient u als (aanstaand) privacy professional zich een aantal vragen te stellen voordat u met uw taak begint. Deze vragen hebben vooral betrekking op de inhoud van uw taak, maar ook op uw positie binnen de onderneming.

In de AVG wordt de aanstelling van een DPO / FG nauwkeurig geregeld. Het takenpakket en de positie staan omschreven. Maar hoe wordt invulling gegeven aan de functie van privacy officer? En wat kunt u nog meer over uw eigen positie vastleggen? 

Wij hebben hier een aantal onderwerpen op een rij gezet die voor uw zelf van belang zijn voordat u met uw functie begint.

  • Bedrijfsjurist, FG of toch privacy officer?

    U dient eerst - zelf of aan de hand van een voorstel - vast te stellen of uw functie kwalificeert als FG /DPO of niet. Valt uw functie binnen het wettelijke kader van artikel 37 -39 van de AVG (of tot die tijd artikel 62 - 63 Wbp)? Of wordt u een bedrijfsjurist met het rechtsgebied “privacy” in het takenpakket? Of een wordt u een privacy officer zonder wettelijke grondslag?

    Inhoudelijk zal uw functie niet veel verschillen. Beide functies zijn gericht op het interne toezicht binnen een organisatie van de naleving van privacyverplichtingen. Het takenpakket en de positie kan wel verschillen, omdat voor de FG/DPO het kader van de AVG geldt. Voor een bedrijfsjurist/privacy officer is dit vrij invulbaar.  

    Er is echter na invoering van de AVG wel een belangrijk verschil en dat is ontslagbescherming. De FG/DPO heeft ontslagbescherming. Hoe dit uitwerkt in de praktijk, zal nog moeten blijken. Wat dit betekent voor de FG/DPO die op grond van een overeenkomst van opdracht werkt (wat expliciet mogelijk is, artikel 37 lid 6 AVG) zal ook moeten blijken.

  • De normen en waarden van de organisatie
    De bedrijfsethiek is voor uw functie van belang.
     
    U zult beleid gaan maken of bestaand beleid implementeren en soms de uitvoering ervan controleren. U heeft daarin een onafhankelijke en zelfstandige positie. Dit betekent niet dat u uw eigen inzichten ongehinderd kunt doorvoeren. Het beleid moet passen bij de organisatie. Het beleid moet worden ondersteund, uitgevoerd en ingevoerd door het bestuur. Het is daarom belangrijk om vooraf te weten wat de normen en waarden zijn in de organisatie, zodat u het beleid en uw werkzaamheden hierop kunt laten aansluiten. 

    Staat de klant centraal? Staat de veiligheid van werknemers centraal? Is het motto "wij geven het juiste voorbeeld als bedrijf?" of is alles gericht op "zo veel mogelijk winst maken?" 

    Bekendheid met normen en waarden kunnen u beter in staat stellen om passende aanbevelingen te doen, waarbij u het gewenste doel bereikt en de directie u zal steunen. Uiteindelijk is het bestuur de beslissende partij bij privacyvraagstukken. Indien u zich niet kunt vinden in de bedrijfsethiek, dan zult u eerder in principiële discussies terecht komen. Het uiteindelijke doel - naleving van de privacy wetgeving - komt daardoor in het gedrang.
  • Positie binnen de organisatie
    Voor de FG/DPO aangesteld op grond van de AVG bestaat een kader voor zijn positie in artikel 38 AVG. Hieruit blijkt duidelijk dat u een onafhankelijke adviesfunctie heeft en dient te rapporteren aan de hoogst leidinggevende. Of te wel, aan de directie of het bestuurslid /MT-lid dat privacyvraagstukken in de portefeuille heeft.

    Bij grotere organisaties dient u zich af te vragen bij welke afdeling u hoort. Is dit de juridische afdeling, de interne auditdienst of het management-team? Als deze keuze al voor u is gemaakt, kan dit bepalend zijn voor de kwalificatie van uw functie. Een FG/DPO zal niet snel onderdeel uitmaken van een interne auditdienst omdat controle van het zelf opgestelde beleid niet voor de hand ligt.
  • Taakomschrijving: controle of advies
    De speelruimte bij de taakomschrijving hangt ook weer af van de kwalificatie van uw aanstelling: bent u een wettelijke FG/DPO of een privacy officer/bedrijfsjurist?

    Een FG/DPO - artikel 39 AVG - heeft duidelijke taken: informeren, adviseren, trainen medewerkers, adviseren bij PIA's, toezien op de naleving van de verplichtingen uit de AVG. Ook heeft de FG/DPO controlebevoegdheden, denk aan toegang tot ruimtes, systemen of documenten. Of dit daadwerkelijk leidt tot een controlefunctie hangt af van de grote van de organisatie. Is er een interne auditafdeling, dan is dat de afdeling die controleert. De FG /DPO zal dan in de toeziende rol naast het bestuur ook de diverse afdelingen adviseren bij de juiste uitvoering van beleid zonder hier als politieagent bij op te treden. In grote organisaties zal de FG/DPO vaak de business helpen met praktische uitwerkingen van privacyvraagstukken. Een controlerende taak zou dan het beoordelen van eigen werk inhouden.

    Een bedrijfsjurist kan in een functie omschrijving afspraken hoe ver de taken en bevoegdheden reiken. Hier dient uiteraard ook te worden opgepast met een taak waarbij het eigen werk wordt gecontroleerd.
  • Beoordelingskader
    Op welke output wordt u beoordeeld?

    U heeft een onafhankelijke positie en in het geval van DPO/FG ontslagbescherming. Daar past geen klassieke beoordeling bij. Toch kunnen zaken als salaris(verhoging) aan de orde zijn. Op grond waarvan wordt dit bepaald? De uitvoering van uw taak kan een aanknopingspunt zijn. Uw taak omvat onder andere trainen van medewerkers, toezien op de uitvoering van beleid, het documenteren van meldingen en het informeren en adviseren van het bestuur. Is de enkele uitvoering van de taken voldoende voor een salarisverhoging of wordt er een resultaat verwacht? 

    U zult bij de start van uw functie inzichtelijk moeten hebben of er een zeker resultaat van u wordt verwacht of dat adviseren en informeren volstaat. Hierbij is wederom van belang dat een wettelijk aangestelde DPO/FG niet mag worden gestraft voor de uitvoering van de taken, wat een koppeling tussen de uitvoering van de werkzaamheden en het niet geven van een bonus of salarisverhoging complex maakt.
  • Tips & Tricks
    Er zijn een aantal zaken die u bij voorkeur voor aanvang van de mooie maar uitdagende taak als FG/DPO of privacy officer voor uzelf zou kunnen regelen.

    Ook tijdens de uitvoering van uw werkzaamheden zijn er aandachtspunten die uw taak versoepelen. 

    We hebben deze tips & tricks voor u op een rij gezet.

    Download: Tips en tricks voor de functie van DPO of FG.pdf

Meer informatie over uw specifieke situatie? Wij helpen u graag verder