Privacy officer of functionaris gegevensbescherming (FG)

De naam Functionaris Gegevensbescherming wekt de indruk, dat het om een  functionaris gaat die zich bezig moet houden met de volledige gegevensverwerking binnen een bedrijf ofwel met het complete domein van de informatiebeveiliging. Wij gebruiken daarom in het vervolg de naam van Privacy Officer. Alleen bij het citeren van officiële teksten zullen we de term Functionaris voor de Gegevensbescherming gebruiken en meestal de afkorting FG.

Welke organisaties moeten een Privacy Officer of FG hebben?

De EU-regelgeving is duidelijk over welke organisaties een Privacy Officer of FG moetenhebben. In artikel 35 lid 1 staat: ‘De voor de verwerking verantwoordelijke en de verwerker wijzen een functionaris voor gegevensbescherming aan in elk geval waarin:

a. de verwerking wordt uitgevoerd door een overheidsinstantie of –orgaan; of b. de verwerking wordt uitgevoerd door een onderneming met minimaal 250 werknemers; of c. een voor de verwerking verantwoordelijke of verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doel regelmatige en stelselmatige observatie van betrokkenen vereisen.’

Vooral punt c treft met name veel dienstverleners die ten behoeve van hun klanten persoonsgegevens verwerken zoals bijvoorbeeld administratiekantoren, salarisverwerkers, pensioenfondsen, reïntegratiebedrijven, SaaS-leveranciers en datacenters. Want vaak verwerken juist deze bedrijven gegevens waarvan de verwerking toezicht vereist. Verder staat in lid 5: ‘De functionaris voor gegevensbescherming wordt door de voor de verwerking verantwoordelijke of de verwerker aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen de in artikel 37 bedoelde taken te vervullen. Het vereiste niveau van deskundigheid wordt met name bepaald op grond van de uitgevoerde gegevensverwerking en de bescherming die voor de door de voor de verwerking verantwoordelijke of de verwerker verwerkte gegevens vereist is.’ De taken van een Privacy Officer kun je er dus niet in naam zo maar even bij doen. Een organisatie moet of hierin investeren of anders besluiten een Privacy Officer van ‘buiten’ te halen.

Insourcen van een privacy officer of FG

Het ligt voor de hand dat veel bedrijven de rol van Privacy Officer gaan insourcen, omdat ze de schaalgrootte missen om zelf de expertise op te bouwen en te onderhouden. Bedrijfseconomisch is dat vaak geen haalbare kaart. De EU-regelgeving staat dit toe onder een aantal voorwaarden:

• De externe privacy officer (FG) is een natuurlijk persoon (en dus geen bedrijf).
• Het contract met de privacy officer is steeds voor 2 jaar. Dit mag worden verlengd. ‘Tijdens zijn ambtstermijn kan de functionaris voor gegevensbescherming alleen worden ontslagen wanneer hij niet langer voldoet aan de voorwaarden voor de uitvoering van zijn taken.’
• De opdrachtgever zorgt ‘ervoor dat de FG zijn plichten en taken onafhankelijk vervult en geen instructies ontvangt met betrekking tot de uitoefening van de functie. De FG brengt rechtstreeks verslag uit aan de leiding van de voor de verwerking verantwoordelijke of de verwerker.’

Het is dus te verwachten, dat veel zzp’ers zich gaan aanbieden als Privacy Officer of FG. Voor bedrijven is het goed uitkijken, als zij deze rol willen insourcen. Zij zitten immers twee jaar vast aan een functionaris. Ook is het zaak om vooraf de uit te voeren taken contractueel goed af te bakenen. En omdat privacy in feite een subset vormt van informatiebeveiliging (vertrouwelijkheid van persoonsgegevens), is het verstandig om de externe Privacy Officer te laten vallen onder de security officer.

Taken van de privacy officer of FG

In artikel 37 lid 1 vinden we de taakomschrijving van de Privacy Officer: ‘De voor de verwerking verantwoordelijke en de verwerker dragen de FG ten minste de volgende taken op:

a. het informeren en adviseren van de voor de verwerking verantwoordelijke en de verwerker over hun verplichtingen op grond van deze verordening en het documenteren van deze activiteit en de ontvangen antwoorden; b. het toezien op de uitvoering en toepassing van het beleid van de voor de verwerking verantwoordelijke of de verwerker met betrekking tot de bescherming van persoonsgegevens, met inbegrip van de toewijzing van verantwoordelijkheden, de opleiding van het bij de verwerking betrokken personeel en de betreffende audits; c. het toezien op de uitvoering en de toepassing van deze verordening, met name met betrekking tot de vereisten inzake privacy by design, privacy by default en gegevensbeveiliging en met betrekking tot het informeren van betrokkenen en hun verzoeken in het kader van de uitoefening van hun rechten uit hoofde van deze verordening; d. ervoor zorgen dat de in artikel 28 bedoelde documenten (dit betreft vooral de bewerkersovereenkomsten) worden bewaard; e. het toezien op het documenteren, melden en meedelen van inbreuken in verband met persoonsgegevens overeenkomstig de artikelen 31 (aan toezichthouder) en 32 (aan betrokkenen); f. het toezien op de uitvoering van de privacy effectbeoordeling door de voor de verwerking verantwoordelijke of de verwerker en op het verzoek om voorafgaande toestemming of raadpleging, voor zover daartoe op grond van de artikelen 33 en 34 een verplichting bestaat (dit betreft met name de verwerking van bijzondere persoonsgegevens zoals ras, geloof, gezondheid etc.); g. het toezien op het gevolg dat aan verzoeken van de toezichthoudende autoriteit is gegeven en het, binnen de grenzen van de bevoegdheid van de FG, verlenen van medewerking aan de toezichthoudende autoriteit op diens verzoek of op eigen initiatief van de FG; h. het optreden als contactpunt voor de toezichthoudende autoriteit inzake aangelegenheden in verband met de verwerking en het op eigen initiatief in voorkomend geval raadplegen van de toezichthoudende autoriteit.’

Een FG heeft geen formele bevoegdheid om zijn wil door te drukken. Hij rapporteert aan de verantwoordelijke voor de gegevensverwerking en die beslist, wat hij met de adviezen doet. Slechts als de verantwoordelijke constateert, dat in strijd met de wet wordt gehandeld, is hij verplicht dit te melden aan de toezichthouder. Echter een FG die alleen naar de letter van de wet kijkt en slaafs de richtlijnen van de toezichthouders opvolgt,  functioneert niet goed. De FG moet vooral ook de organisatie helpen om haar business doelen te realiseren en zijn adviezen in dat licht brengen. Maar de organisatie is wel wettelijk verplicht om de FG controlebevoegdheden te geven. Zo moet een FG bevoegd zijn om ruimtes te betreden, zaken te onderzoeken en inlichtingen en inzage te vragen. De FG moet in onafhankelijkheid zijn werkzaamheden kunnen verrichten binnen een organisatie.

Voordelen van een privacy officer of FG voor de organisatie

Als een organisatie een Privacy Officer heeft, dan mogen klanten, medewerkers en andere stakeholders erop vertrouwen, dat de organisatie persoonsgegevens op een nette manier verwerkt. Vertrouwen is na de diverse crises een schaars goed geworden voor veel organisaties en het aanstellen van een Privacy Officer geeft aan dat een organisatie vooral ook vertrouwen wil geven. Daarnaast kan de Privacy Officer de organisatie helpen met de toepassing van ‘privacy by design’ en ‘privacy by default’, zodat kostbare reparaties achteraf om te voldoen aan de wetgeving voorkomen kunnen worden. En uiteraard kan de Privacy Officer organisaties behoeden voor boetes van toezichthouders, die kunnen oplopen tot 5% van de jaaromzet. In het artikel ‘Toegevoegde waarde van een privacy officer of FG’, gaan we nader in op deze voordelen. Als u zelf een medewerker wilt opleiden tot Privacy Officer of FG, dan verwijzen we u graag naar de ‘Cursus Privacy Officer (FG) in de praktijk’. Ook kan ZBC u helpen als u een Privacy Officer wilt insourcen.