Sinds 25 mei 2018 is in Nederland de Algemene verordening gegevensbescherming (AVG) van kracht. Deze privacywet ziet toe op de omgang met en verwerking van persoonsgegevens. Binnen een organisatie is de directie verantwoordelijk voor de omgang met persoonsgegevens en de correcte naleving van de AVG. De directie kan zich hierbij laten ondersteunen en adviseren door een medewerker met een specifiek takenpakket. Vaak wordt deze functionaris de privacy officer genoemd.
Taken van de Privacy Officer
De privacy officer houdt niet alleen toezicht op de omgang met persoonsgegevens, maar bekleedt ook een adviserende rol. Hij adviseert het personeel over privacy gerelateerde zaken en denkt hierover mee vanuit organisatiebelang. Ook geeft de privacy officer trainingen om de interne kennis over privacy te vergroten.
Behalve een informerende en adviserende rol, is de privacy officer ook verantwoordelijk voor het opstellen, evalueren en bijwerken van privacy beleidsregels en verwerkersovereenkomsten. Ook heeft hij of zij een rol bij de uitvoering van een Data protection impact assessment (DPIA) en bij het melden van datalekken. Ten slotte fungeert de privacy officer als contactpersoon voor datasubjecten – personen van wie de persoonsgegevens door de organisatie worden verwerkt – en de Autoriteit Persoonsgegevens.
Privacy Officer vs Functionaris Gegevensbescherming
Er ontstaat regelmatig verwarring over het verschil tussen de privacy officer functionaris gegevensbescherming, ook wel data protection officer genoemd. Dit komt doordat de taken van de twee functionarissen veelal gelijk zijn. Het grote verschil is dat sommige organisaties, zoals overheidsinstanties en organisaties die grootschalig persoonsgegevens verwerken, wettelijk verplicht zijn om een Functionaris Gegevensbescherming aan te stellen.
Net als de privacy officer is het de taak van de functionaris gegevensbescherming om toe te zien op de naleving van de privacywetgeving en om het management hierover te adviseren. Anders dan voor de rol van de PO, is de rol van de FG wettelijk vastgelegd. Als tweedelijnsfunctie dient deze onafhankelijk te worden ingevuld. Om de onafhankelijkheid van de FG te kunnen waarborgen, moet de functie volgens bepaalde eisen worden ingevuld. Deze eisen gelden niet voor de rol van privacy officer. Op deze pagina leggen we uit of jouw organisatie een functionaris gegevensbescherming nodig heeft.
Een Privacy Officer aanstellen
Ook als jouw organisatie niet verplicht is om een functionaris gegevensbescherming te hebben, is het aan te raden om in ieder geval een medewerker aan te wijzen als aanspreekpunt voor privacy en persoonsgegevens. Zo weet je dat de risico’s voor de onderneming als persoonsgegevens onvoldoende worden beschermd (reputatieschade, boetes) voldoende worden afgedekt. In dat geval is het aanstellen van een privacy officer een goede keuze.
De rol van privacy officer kan zowel intern als extern ingevuld worden. Ook kunnen grote organisaties er om praktische redenen voor kiezen om zowel een functionaris gegevensbescherming als een privacy officer aan te stellen.
Meer weten?
Wil je advies over de invulling van de rol van FG of PO? Onze consultants adviseren je graag over privacy gerelateerde kwesties. Ook kunnen zij de rol van (externe) Privacy Officer of(externe) Functionaris Gegevensbescherming vervullen. Neem gerust contact met ons op.