Sinds 25 mei 2018 is in Nederland de Algemene verordening gegevensbescherming (AVG) van kracht. Deze privacywet ziet toe op de omgang met en verwerking van persoonsgegevens. Binnen een organisatie is de directie verantwoordelijk voor de omgang met persoonsgegevens en de correcte naleving van de AVG. De directie kan zich hierbij laten ondersteunen en adviseren door een medewerker met een specifiek takenpakket. Vaak wordt deze functionaris de privacy officer genoemd. In een aantal gevallen is de organisatie wettelijk verplicht een functionaris gegevensbescherming of data protection officer aan te stellen. De rol van zowel privacy officer als data protection officer kan intern ingevuld zijn, maar mag ook extern worden uitbesteed.
De privacy officer houdt niet alleen toezicht op de omgang met persoonsgegevens, maar bekleedt ook een adviserende rol. Hij adviseert het personeel over privacy gerelateerde zaken en geeft trainingen om de interne kennis over dit onderwerp te vergroten. Ook heeft hij een (ondersteunende) rol bij de uitvoering van een Data protection impact assessment (DPIA) en bij het melden van datalekken. Daarnaast fungeert de privacy officer als contactpersoon voor datasubjecten – personen van wie de persoonsgegevens door de organisatie worden verwerkt – en de Autoriteit Persoonsgegevens.
Er ontstaat regelmatig verwarring over het verschil tussen de privacy officer (PO) en de data protection officer (DPO), ook wel functionaris gegevensbescherming genoemd. Net als de privacy officer is het de taak van de data protection officer om toe te zien op de naleving van de privacywetgeving en om het management hierover te adviseren. Anders dan voor de rol van de PO, is de rol van DPO wettelijk vastgelegd. Als een organisatie op grond van de AVG verplicht is een data protection officer aan te stellen, dient de functie volgens bepaalde eisen ingevuld te worden. Deze eisen zijn bedoeld om de onafhankelijkheid van de DPO te kunnen waarborgen:
Wij raden aan om ook bij de invulling van de rol van privacy officer zo dicht mogelijk bij de wettelijke taken en verantwoordelijkheden te blijven.
De data protection officer rapporteert direct aan het management van de organisatie. Hoewel de DPO verantwoordelijk is voor het toezicht op de wet- en regelgeving op het gebied van privacy, is het management verantwoordelijk voor de naleving ervan. De DPO of PO brengt dus advies uit, maar is niet persoonlijk aansprakelijk voor de naleving van de AVG.
Artikel 37 van de AVG stelt dat het aanstellen van een data protection officer verplicht is voor:
Of er sprake is van dit laatste criterium is soms moeilijk te bepalen. Het gaat hierbij bijvoorbeeld om organisaties die personen via hun website volgen en profielen opbouwen op basis van interesses en voorkeuren. Om te kwalificeren voor de laatste categorie moet dit echter wel de kernactiviteit van de organisatie zijn. Als u alleen gegevens verzamelt over het gebruik van uw website betekent dit dus niet dat u verplicht bent een data protection officer aan te stellen.
Gezien het maatschappelijk belang van privacybescherming en de risico’s voor de onderneming als persoonsgegevens onvoldoende worden beschermd (reputatieschade, boetes), is het aan te raden om in ieder geval een medewerker aan te wijzen als aanspreekpunt voor privacy en persoonsgegevens. Ook als uw organisatie niet in de bovengenoemde categorieën valt. In dat geval is het aanstellen van een privacy officer een goede keuze. Ook kunnen grote organisaties er om praktische redenen voor kiezen om zowel een data protection officer als een privacy officer aan te stellen. Hierdoor wordt immers het aantal medewerkers dat zich bezighoudt met privacy en de naleving van de AVG vergroot, terwijl voor klanten en toezichthouders duidelijk is wie het eerste aanspreekpunt van de organisatie is.
Wil je advies over de invulling van de rol van DPO of PO? Onze consultants adviseren je graag over privacy gerelateerde kwesties. Ook kunnen zij de rol van (externe) privacy officer of data protection officer vervullen. Hier lees je meer over onze invulling van de rol van privacy officer. Neem gerust contact met ons op.