Sinds 25 mei 2018 is in Nederland de Algemene verordening gegevensbescherming (AVG) van kracht. Deze privacywet ziet toe op de omgang met en verwerking van persoonsgegevens. Binnen een organisatie is de directie verantwoordelijk voor de omgang met persoonsgegevens en de correcte naleving van de AVG. De directie kan zich hierbij laten ondersteunen en adviseren door een medewerker met een specifiek takenpakket. Vaak wordt deze functionaris de privacy officer genoemd.
Taken van de Privacy Officer
De privacy officer houdt niet alleen toezicht op de omgang met persoonsgegevens, maar bekleedt ook een adviserende rol. Hij adviseert het personeel over privacy gerelateerde zaken en denkt hierover mee vanuit organisatiebelang. Ook geeft de privacy officer trainingen om de interne kennis over privacy te vergroten.
Naast het informeren en adviseren, Privacy Officer is ook verantwoordelijk voor het opstellen, evalueren en actualiseren privacy beleid en verwerkingsovereenkomsten. Hij of zij heeft ook een rol bij het uitvoeren van een Data Beschermingseffectbeoordeling (DPIA) en in rapportage data inbreuken. Ten slotte, de Privacy Officer fungeert als aanspreekpunt voor data onderwerpen - personen waarvan de persoonlijke data worden verwerkt door de organisatie - en de toezichthoudende autoriteiten.
Privacy Officer vs Functionaris Gegevensbescherming
Er ontstaat regelmatig verwarring over het verschil tussen de privacy officer functionaris gegevensbescherming, ook wel data protection officer genoemd. Dit komt doordat de taken van de twee functionarissen veelal gelijk zijn. Het grote verschil is dat sommige organisaties, zoals overheidsinstanties en organisaties die grootschalig persoonsgegevens verwerken, wettelijk verplicht zijn om een Functionaris Gegevensbescherming aan te stellen.
Net als de PO is de rol van de DPO om toezicht te houden compliance met data beschermingswetten en om het management te adviseren. In tegenstelling tot de rol van de PO, is de rol van de DPO wettelijk vastgelegd. Als tweedelijnsfunctie moet deze onafhankelijk worden uitgevoerd. Om de onafhankelijkheid van de DPO te waarborgen, moet de rol worden ingevuld in overeenstemming met bepaalde vereisten. Deze vereisten zijn niet van toepassing op de rol van Privacy Officer Op deze pagina leggen we uit wat deze vereisten zijn en wat uw organisatie nodig heeft Data Bescherming Officer .
Een Privacy Officer aanstellen
Ook als jouw organisatie niet verplicht is om een functionaris gegevensbescherming te hebben, is het aan te raden om in ieder geval een medewerker aan te wijzen als aanspreekpunt voor privacy en persoonsgegevens. Zo weet je dat de risico’s voor de onderneming als persoonsgegevens onvoldoende worden beschermd (reputatieschade, boetes) voldoende worden afgedekt. In dat geval is het aanstellen van een privacy officer een goede keuze.
De rol van privacy officer kan zowel intern als extern ingevuld worden. Ook kunnen grote organisaties er om praktische redenen voor kiezen om zowel een functionaris gegevensbescherming als een privacy officer aan te stellen.
Meer weten?
Wil je advies over de invulling van de rol van FG of PO? Onze consultants adviseren je graag over privacy gerelateerde kwesties. Ook kunnen zij de rol van (externe) Privacy Officer of(externe) Functionaris Gegevensbescherming vervullen. Neem gerust contact met ons op.