Sinds 25 mei 2018 is in Nederland de Algemene verordening gegevensbescherming (AVG) van kracht. Deze privacywet ziet toe op de omgang met en verwerking van persoonsgegevens. Binnen een organisatie is de directie verantwoordelijk voor de omgang met persoonsgegevens en de correcte naleving van de AVG. De directie kan zich hierbij laten ondersteunen en adviseren door een medewerker met een specifiek takenpakket. Vaak wordt deze functionaris de privacy officer genoemd. In een aantal gevallen is de organisatie wettelijk verplicht een functionaris gegevensbescherming of data protection officer aan te stellen. De rol van zowel privacy officer als data protection officer kan intern ingevuld zijn, maar mag ook extern worden uitbesteed.
Taken van de privacy officer
De privacy officer houdt niet alleen toezicht op de afhandeling van persoonlijke data, maar heeft ook een adviserende rol. Ze adviseren medewerkers over privacy-gerelateerde zaken en geven trainingen om de interne kennis over het onderwerp te vergroten. Ze hebben ook een (ondersteunende) rol bij het uitvoeren van een Data Protection Impact Assessment (DPIA) en bij het melden van data schendingen. Daarnaast treedt de privacy officer op als contactpersoon voor data betrokkenen - personen van wie data persoonsgegevens worden verwerkt door de organisatie - en de Autoriteit Persoonsgegevens Data .
Privacy Officer vs Data Protection Officer
Er ontstaat vaak verwarring over het verschil tussen de privacy officer (PO) en de data bescherming officer (DPO). Net als de privacy officer , is de rol van de data protection officer het toezien op compliance de naleving van privacy wetgeving en het adviseren van het management in dit opzicht. In tegenstelling tot de rol van de PO, is de rol van de DPO wettelijk bepaald. Als een organisatie onder de AVG verplicht is om een data bescherming officer aan te stellen, moet de functie volgens bepaalde vereisten worden ingevuld. Deze vereisten zijn bedoeld om de onafhankelijkheid van de DPO te waarborgen:
- De FG mag geen instructies ontvangen over de uitoefening van zijn of haar taken;
- Ontslag of andere sancties die voortvloeien uit de uitvoering van de taken van de functionaris voor gegevensbescherming zijn niet toegestaan, behalve in het geval van slechte prestaties op case ;
- Om zijn taken te kunnen vervullen moet de DPO beschikken over voldoende middelen, tijd en toegang tot systemen;
- De FG mag geen nevenfuncties bekleden die mogelijk tot belangenconflicten kunnen leiden.
Wij raden aan om ook bij de invulling van de rol van privacy officer zo dicht mogelijk bij de wettelijke taken en verantwoordelijkheden te blijven.
De data bescherming officer rapporteert rechtstreeks aan het management van de organisatie. Hoewel de DPO verantwoordelijk is voor het bewaken van privacy wet- en regelgeving, is het management verantwoordelijk voor compliance. De DPO of PO geeft dus advies, maar is niet persoonlijk aansprakelijk voor AVG compliance .
Heeft mijn organisatie een data protection officer nodig?
Artikel 37 van de AVG stelt dat het aanstellen van een data protection officer verplicht is voor:
- Publieke organisaties en overheidsinstanties (rechtbanken uitgezonderd);
- Organisaties die op grote schaal bijzondere persoonsgegevens verwerken (zoals gegevens omtrent gezondheid, religie of etnische afkomst);
- Organisaties die "regelmatig en systematisch" op grote schaal individuen observeren.
Of dit laatste criterium van toepassing is, is soms moeilijk te bepalen. Het gaat bijvoorbeeld om organisaties die individuen volgen via hun websites en profielen opbouwen op basis van interesses en voorkeuren. Om voor de laatste categorie in aanmerking te komen, moet dit echter de kernactiviteit van de organisatie zijn. Als u dus alleen data verzamelt over het gebruik van uw website, betekent dit niet dat u verplicht bent om een data bescherming officer aan te stellen.
Gezien het maatschappelijke belang van privacy bescherming en de risico's voor het bedrijf als persoonlijke data onvoldoende wordt beschermd (reputatieschade, boetes), is het raadzaam om ten minste één medewerker aan te wijzen als aanspreekpunt voor privacy en persoonlijke data. Ook als uw organisatie niet in bovenstaande categorieën valt. In dat geval case is het aanwijzen van een privacy officer een goede keuze. Grote organisaties kunnen er om praktische redenen ook voor kiezen om zowel een data bescherming officer als een privacy officer aan te stellen. Dit vergroot immers het aantal medewerkers dat zich bezighoudt met privacy en AVG compliance , terwijl het voor klanten en toezichthouders duidelijk is wie het eerste aanspreekpunt van de organisatie is.
Meer weten?
Wil je advies over de invulling van de rol van DPO of PO? Onze consultants adviseren je graag over privacy gerelateerde kwesties. Ook kunnen zij de rol van (externe) privacy officer of data protection officer vervullen. Hier lees je meer over onze invulling van de rol van privacy officer. Neem gerust contact met ons op.