Tips voor het vormgeven van de rol "Functionaris voor de Gegevensbescherming"
Op grond van de Europese privacyverordening (Algemene Verordening Gegevensbescherming) zijn vanaf 2018 alle publieke instanties verplicht om een Functionaris voor de Gegevensbescherming (FG, ook wel Data Protection Officer of DPO genoemd) aan te stellen. Ook voor sommige andere organisaties wordt dit een verplichting. Als zij gegevens verwerken waarvan de aard van de verwerking (het soort gegevens, de reikwijdte, het doel, grootschalige en stelselmatige monitoring van betrokkenen) hiertoe aanleiding geeft of in geval van grootschalige verwerking van bijzondere gegevens moeten zij een FG aanstellen. Alle andere organisaties zijn vrij om een FG aan te stellen, tenzij de wet anders bepaalt. Wat doet een FG binnen een organisatie en waar moet je rekening mee houden? Dit zijn vragen die in deze blogpost worden behandeld.
Kenmerken van een FG
In de verordening worden de kenmerken van een Functionaris voor de Gegevensbescherming uitgelegd. Hieronder heb ik deze voor je op een rijtje gezet. Een FG:
- wordt aangesteld op basis van zijn of haar professionele kwaliteiten en inhoudelijke expertise van het recht en de praktijk
- is onafhankelijk in de uitvoering van zijn of haar taken en rapporteert rechtstreeks aan het management
- krijgt alle noodzakelijke middelen tot zijn of haar beschikking om het werk te kunnen doen;
- is gebonden aan geheimhouding
- kan andere taken vervullen, zolang deze niet tot een belangenconflict leiden
- ontvangt geen uitvoeringsinstructies van de verantwoordelijke en geniet ontslagbescherming; hij of zij kan niet worden ontslagen of beboet op grond van de uitvoering van zijn of haar taken
De taakomvang en diversiteit van een FG
De privacyverordening geeft organisaties de ruimte om te kiezen voor een fulltime of parttime functie en voor een interne of externe FG. Je kunt er dus ook voor kiezen om een FG in te huren voor een aantal uren per week. Een Functionaris voor de Gegevensbescherming mag ook door een groep van ondernemingen worden aangewezen, bijvoorbeeld een holding of een branchevereniging.
De taken van een FG zijn divers en worden opgesomd in de verordening. Hieronder volgt een lijstje met taken waarvan je op de hoogte moet zijn als je een FG aanstelt. Een FG:
- houdt bij de uitvoering van zijn taken rekening met het aan de verwerkingen verbonden risico, en met de aard, de omvang, de context en de doelen van de verwerking;
- wordt betrokken bij alle zaken die bescherming van persoonsgegevens raken;
- zorgt voor awareness (of bewustzijn) bij werknemers in de organisatie;
- ziet toe op de naleving van het wettelijk kader en op het beleid van de organisatie; * monitort de uitvoering van zogenaamde gegevensbeschermingseffectbeoordelingen, ook wel data privacy impact assessments genoemd;
- werkt samen met en is contactpersoon voor de toezichthouders
- is de contactpersoon voor betrokkenen (bij een verwerking)
Uit bovenstaande lijst kunnen we dus concluderen dat een Functionaris voor de Gegevensbescherming op grond van de privacyverordening een uitgebreid takenpakket met een zware verantwoordelijkheid krijgt.
Het verbod op conflicterende belangen onder de privacyverordening
Door het verbod op belangenverstrengeling van de verordening is de vraag welke functies nog verenigbaar zijn met elkaar. In de praktijk worden veelal deeltijdfuncties deels samengevoegd of doen werknemers met een bepaalde kerntaak het onderwerp privacy er ‘gewoon bij’. Wat mij betreft kan de Functionaris voor de Gegevensbescherming niet óók security officer of compliance officer zijn, omdat in deze functies immers sprake is van conflicterende belangen met de activiteiten van de FG. De slager keurt dan immers zijn eigen vlees. Let hier dus op als je start met de aanstelling van een FG voor jouw organisatie.
De rol van FG kan ook conflicteren als de betreffende FG gelijktijdig voor verschillende organisaties werkt. Dit probleem doet zich met name voor als een FG werkzaam is voor meerdere organisaties in dezelfde branche. Dit kan leiden tot zorgen over onder meer geheimhouding en bedrijfsgevoelige informatie.
Het vinden van de juiste FG voor je organisatie zou dus zomaar een behoorlijke klus kunnen zijn! Mijn advies: begin op tijd met het vormgeven van de FG rol binnen jouw organisatie.Zorg dat de manier waarop de rol moet worden ingevuld duidelijk is (parttime of fulltime, intern of extern etc.) voordat je start met het zoeken naar een geschikte kandidaat. Ook is het belangrijk om je werknemers op de hoogte te brengen van de rol van de FG, zodat de FG zijn of haar functie naar behoren kan uitvoeren.