Wanneer hebben wij een data protection officer nodig als bedrijf?

privacy-statement.jpgEen lezer vroeg me:

In 2018 komt de Privacyverordening eraan. Eén van de plichten daaruit is het aanstellen van een data protection officer ofwel een functionaris gegevensbescherming. Maar welke bedrijven moeten dit nu verplicht doen?

De functionaris voor de gegevensbescherming oftewel de data protection officer (DPO) is een onafhankelijk en deskundig persoon binnen de organisatie van de verwerker met als taak informeren en adviseren over de omgang met persoonsgegevens. De functionaris mag een werknemer zijn of een extern ingehuurde kracht. Het idee is dat je zo meer nadruk op toezicht en naleving van de Privacyverordening kunt leggen.

Aanstellen van een functionaris voor gegevensbescherming is verplicht in drie situaties, zo staat in artikel 37 van de Verordening:

  1. de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken; Overheidsinstanties dus (rechtbanken zijn kort gezegd vrijgesteld van toezicht wegens de rechterlijke onafhankelijkheid)
  2. een verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen; Het moet dus gaan om het uitvoeren van regelmatige en stelselmatige observatie op grote schaal van betrokkenen. Te denken valt aan recherchebureaus, maar ook aan internetbedrijven die diensten aanbieden om websitebezoek zeer gedetailleerd te monitoren (analytics).
  3. de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met grootschalige verwerking van [bijzondere en strafrechtelijke persoonsgegevens]; dit zijn bijvoorbeeld persoonsgegevens over ras, seksuele voorkeur of politieke gezindheid.

Er zijn dus géén getalsmatige criteria, zoals in eerdere concepten van de Verordening nog wel stonden. Diverse artikelen verwijzen hier nog naar, bijvoorbeeld dat je pas een functionaris nodig hebt vanaf 500 medewerkers of als je van 250 mensen of meer persoonsgegevens verwerkt. Dat is dus allemaal niet meer uit de wet af te leiden.

Nadere Europese of nationale wetgeving kan voorschrijven dat in andere gevallen een functionaris verplicht is (lid 4). Het staat organisaties vrij daarnaast vrijwillig een functionaris te benoemen (lid 4). En dat kan nut hebben: een bedrijf met een goed opererende functionaris zal minder snel door de toezichthouder worden besprongen met audits en boetes. En als je bedenkt dat die 20 miljoen per overtreding kunnen zijn, dan loont het best de moeite daarover na te denken.

Arnoud

16 reacties

  1. Een onafhankelijke werknemer dan wel ingehuurde kracht ? Hoe moet ik dat zien ? Een werknemer is bijna per definitie niet onafhankelijk (want gezagsverhouding) en met die ingehuurde kracht die z’n opdracht niet kwijt wil zie ik dat ook nog niet helemaal eigenlijk.

    1. Er zijn verschillende manieren om onafhankelijk in te vullen, maar een niet direct bij de gegevensverwerking betrokken persoon die direct aan de directie kan rapporteren zou een functionaris gegevensverwerking kunnen worden als hij over de benodigde competenties beschikt.

    2. https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/functionaris-voor-de-gegevensbescherming

      Zo moet een FG bevoegd zijn om ruimtes te betreden, zaken te onderzoeken en inlichtingen en inzage te vragen. De FG moet in onafhankelijkheid zijn werkzaamheden kunnen verrichten binnen een organisatie. Een FG heeft dezelfde ontslagbescherming als leden van een ondernemingsraad. Dit betekent dat hij pas ontslagen kan worden na toestemming van de kantonrechter.

  2. Wat moet je doen als heel klein bedrijf (bijv. maar een paar werknemers)? Of als je helemaal geen bedrijf bent, maar als hobby, zonder enige inkomstenbron, een website runt waarop je dit soort dingen doet? Of als je deelneemt aan een peer-to-peer netwerk waarin dit soort dingen volledig decentraal gebeuren(*)? Er zijn toch situaties waarin mensen helemaal niet de resources hebben om een data protection officer aan te stellen?

    Het lijkt erop dat deze regel grote commerciële partijen bevoordeelt boven kleine en niet-commerciële partijen. Dat kan toch niet de bedoeling zijn? Of is deze regulering tot stand gekomen door lobbyen van grote commerciële partijen? Er kan sprake zijn van regulatory capture.

    (*) Ik weet geen concreet voorbeeld, maar ik kan me voorstellen dat er een soort technische kruising tussen Facebook en Freenet mogelijk is.

    1. De definities spelen hier, zoals vaker in het recht, een grote rol: 2) een verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen; Het moet dus gaan om het uitvoeren van regelmatige en stelselmatige observatie op grote schaal van betrokkenen. Te denken valt aan recherchebureaus, maar ook aan internetbedrijven die diensten aanbieden om websitebezoek zeer gedetailleerd te monitoren (analytics).

      Klein of groot maakt dan niet meer uit. Het gaat er om of je als bedrijf(je), hobbyist, oid verwerkingen doet “die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen.” En dat lijkt mij als burger, buitenstaander, individu en data subject niet meer dan redelijk.

    2. Naast wat Remy zegt: ik vind werken met persoonsgegevens een grote verantwoordelijkheid, er zijn immers grote risico’s voor betrokkenen. Dan is het op zich terecht als de wet zegt, je moet grote maatregelen nemen om dat te beheersen. Een eenmanszaak-klusbedrijf mag ook niet zomaar asbest of radioactief afval afvoeren, ook niet met het argument dat ze niet de resources hebben voor een loodgevoerde truck en/of van die Marsmannetjespakken. Dat is gewoon te gevaarlijk. Persoonsgegevens zijn de radioactieve grondstof van de informatiemaatschappij en wie daarmee wil werken, moet daartoe veilig in staat zijn.

      1. Ja, maar een data protection officer is niet de enige weg. Het is niet altijd noodzakelijk en ook niet altijd voldoende. Er kunnen best kleine clubjes, of clubjes zonder inkomsten, zijn die hun privacy-zaken goed op orde hebben, maar geen middelen hebben om een data protection officer aan te stellen.

        Stel dat je bijvoorbeeld een open source P2P systeem hebt dat met technische middelen (cryptografie) de privacy garandeert. Zowel de ontwikkelaars als de gebruikers (die elkaars gegevens versleuteld verwerken) hebben geen middelen om een data protection officer aan te stellen. Alleen: het enige waar het echt om zou moeten gaan is of de privacy gegarandeerd is, en ik verwacht dat dat bij zo’n systeem eerder het geval is dan bij de gemiddelde Silicon Valley gigant.

        Je zou kunnen beargumenteren dat er een onafhankelijke review moet zijn om te bepalen of in dat geval de technische bescherming solide is. Bij open source projecten zou dat sowieso mogelijk moeten zijn, maar in hoeverre kan dat worden gegoten in een vorm die volgens de wet acceptabel is als “data protection officer” voor alle partijen die onder de wet vallen? En wie gaat dat betalen? Ik denk dat het waarschijnlijker is dat dit soort systemen illegaal gaan worden, zelfs als ze qua privacy superieur zijn.

        1. Als het P2P is dan is de ontwikkelaar sowieso geen verwerker, ze maken slechts de software waarmee verwerkt wordt. De gebruikers zijn de verwerkers. 1. valt dan al af, 2. lijkt mij erg onwaarschijnlijk. Hoe ga je op grote schaal een p2p netwerk waarnemen als je niet de NSA bent? 3. zou nog een probleem kunnen opleveren, leg de verantwoordelijkheid bij de gebruiker neer pak de popcorn en zie het systeem falen.

      2. Echter vergelijk je nu een eenmanszaak (commercieel, dus kan een derde partij inhuren) met een hobbyproject (niet-commercieel, en kan dus niet een derde partij inhuren). Die vergelijking gaat sowieso al krom qua mogelijkheden.

        Bovendien is “persoonsgegevens” veel breder dan asbest – je kunt er bijna niet omheen, zelfs niet als je het beperkt tot bepaalde categorieen (wat dacht je van een forum waar mensen zich uitspreken over hun seksuele voorkeur?).

        Mijns inziens is hier echt niet genoeg rekening mee gehouden, en dit zou wel eens averechts kunnen gaan werken, door het verwerken van persoonsgegevens zo duur te maken dat het enkel nog betaalbaar en verantwoordbaar is voor de organisaties die het per definitie voor dubieuze doeleinden als profiling en marketing willen gebruiken.

  3. Als ik regel B lees dan vallen scholen ook onder deze definitie. ZIj observerengrote aantallen leerlingen gedurende langere tijd en bouwen daarmee gedetaillerde profielen op. En vervolgens wordt dat allemaal in computersystemen gestopt.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.