Sinds 25 mei 2018 is in Nederland de Algemene verordening gegevensbescherming (AVG) van kracht. Deze privacywet ziet toe op de omgang met en verwerking van persoonsgegevens. Binnen een organisatie is de directie verantwoordelijk voor de omgang met persoonsgegevens en de correcte naleving van de AVG. De directie kan zich hierbij laten ondersteunen en adviseren door een medewerker met een specifiek takenpakket. Vaak wordt deze functionaris de privacy officer genoemd. In een aantal gevallen is de organisatie wettelijk verplicht een functionaris gegevensbescherming of data protection officer aan te stellen. De rol van zowel privacy officer als data protection officer kan intern ingevuld zijn, maar mag ook extern worden uitbesteed.
Taken van de privacy officer
De privacy officer houdt niet alleen toezicht op de omgang met persoonsgegevens, maar bekleedt ook een adviserende rol. Hij adviseert het personeel over privacy gerelateerde zaken en geeft trainingen om de interne kennis over dit onderwerp te vergroten. Ook heeft hij een (ondersteunende) rol bij de uitvoering van een Data protection impact assessment (DPIA) en bij het melden van datalekken. Daarnaast fungeert de privacy officer als contactpersoon voor datasubjecten – personen van wie de persoonsgegevens door de organisatie worden verwerkt – en de Autoriteit Persoonsgegevens.
Privacy officer vs data bescherming officer
Er ontstaat regelmatig verwarring over het verschil tussen de privacy officer (PO) en de data protection officer (DPO), ook wel functionaris gegevensbescherming genoemd. Net als de privacy officer is het de taak van de data protection officer om toe te zien op de naleving van de privacywetgeving en om het management hierover te adviseren. Anders dan voor de rol van de PO, is de rol van DPO wettelijk vastgelegd. Als een organisatie op grond van de AVG verplicht is een data protection officer aan te stellen, dient de functie volgens bepaalde eisen ingevuld te worden. Deze eisen zijn bedoeld om de onafhankelijkheid van de DPO te kunnen waarborgen:
- De DPO mag geen instructies ontvangen over de uitoefening van zijn taken;
- Ontslag of andere sancties als gevolg van de uitoefening van de taken van de DPO zijn niet toegestaan, behalve in het geval van slecht functioneren;
- Om zijn taken te kunnen vervullen moet de DPO beschikken over voldoende middelen, tijd en toegang tot systemen;
- De DPO mag geen nevenfuncties bekleden die mogelijk tot belangenconflicten kunnen leiden.
Wij raden aan om ook bij de invulling van de rol van privacy officer zo dicht mogelijk bij de wettelijke taken en verantwoordelijkheden te blijven.
De data protection officer rapporteert direct aan het management van de organisatie. Hoewel de DPO verantwoordelijk is voor het toezicht op de wet- en regelgeving op het gebied van privacy, is het management verantwoordelijk voor de naleving ervan. De DPO of PO brengt dus advies uit, maar is niet persoonlijk aansprakelijk voor de naleving van de AVG.
Heeft mijn organisatie een data protection officer nodig?
Artikel 37 van de AVG stelt dat het aanstellen van een data protection officer verplicht is voor:
- Publieke organisaties en overheidsinstanties (rechtbanken uitgezonderd);
- Organisaties die op grote schaal bijzondere persoonsgegevens verwerken (zoals gegevens omtrent gezondheid, religie of etnische afkomst);
- Organisaties die op grote schaal individuen ‘regelmatig en stelselmatig’ observeren.
Of er sprake is van dit laatste criterium is soms moeilijk te bepalen. Het gaat hierbij bijvoorbeeld om organisaties die personen via hun website volgen en profielen opbouwen op basis van interesses en voorkeuren. Om te kwalificeren voor de laatste categorie moet dit echter wel de kernactiviteit van de organisatie zijn. Als u alleen gegevens verzamelt over het gebruik van uw website betekent dit dus niet dat u verplicht bent een data protection officer aan te stellen.
Gezien het maatschappelijk belang van privacybescherming en de risico’s voor de onderneming als persoonsgegevens onvoldoende worden beschermd (reputatieschade, boetes), is het aan te raden om in ieder geval een medewerker aan te wijzen als aanspreekpunt voor privacy en persoonsgegevens. Ook als uw organisatie niet in de bovengenoemde categorieën valt. In dat geval is het aanstellen van een privacy officer een goede keuze. Ook kunnen grote organisaties er om praktische redenen voor kiezen om zowel een data protection officer als een privacy officer aan te stellen. Hierdoor wordt immers het aantal medewerkers dat zich bezighoudt met privacy en de naleving van de AVG vergroot, terwijl voor klanten en toezichthouders duidelijk is wie het eerste aanspreekpunt van de organisatie is.
Meer weten?
Wil je advies over de invulling van de rol van DPO of PO? Onze consultants adviseren je graag over privacy gerelateerde kwesties. Ook kunnen zij de rol van (externe) privacy officer of data protection officer vervullen. Hier lees je meer over onze invulling van de rol van privacy officer. Neem gerust contact met ons op.
