Wacht, de ICT-manager mag niet ook de privacy officer zijn?

Een Duits bedrijf heeft een boete gekregen omdat haar IT-manager ook de rol van functionaris gegevensbescherming oftewel privacy officer had, las ik bij IAPP. Daarmee werd de wettelijk verplichte onafhankelijke status van de FG aangetast. Dat wordt nog een uitdaging dus als deze functie ook in Nederland een grote vlucht gaat nemen – in veel organisaties is de taak van privacy officer parttime, en doet deze persoon daarnaast nog een andere functie. Vaak security, maar ook ICT algemeen komt veel voor. En nee, dat mag bij ons straks onder de AVG ook niet zomaar.

De functionaris gegevensbescherming (FG) ook wel privacy officer genoemd is een wettelijk gedefinieerde functie. Het gaat om een onafhankelijk opererend persoon in de organisatie die mensen adviseert, begeleidt en traint op het gebied van privacy en persoonsgegevens, maar ook toeziet op een correcte naleving van de wet. (Hij is geen verlengstuk van de toezichthouder, meer dan iets dringend afraden bij de directie kan hij niet doen.)

De FG opereert onafhankelijk, zo bepaalt artikel 38 lid 3 van de AVG:

De verwerkingsverantwoordelijke en de verwerker zorgen ervoor dat de functionaris voor gegevensbescherming geen instructies ontvangt met betrekking tot de uitvoering van die taken. Hij wordt door de verwerkingsverantwoordelijke of de verwerker niet ontslagen of gestraft voor de uitvoering van zijn taken. De functionaris voor gegevensbescherming brengt rechtstreeks verslag uit aan de hoogste leidinggevende van de verwerkingsverantwoordelijke of de verwerker.

De FG mag dus niet worden aangestuurd door een hoger persoon in de hiërarchie. Hij hoort dus eigenlijk direct onder de directie aangesteld te zijn en daar direct aan te rapporteren.

Naast zijn werk als FG mag deze persoon ook andere taken vervullen, maar het bedrijf of organisatie dient er dan voor te zorgen dat hierbij geen belangenconflict kan optreden. Dat was dus de fout hier: omdat deze persoon ook de rol van ICT manager had, moest hij zichzelf controleren op naleving van de privacywet bij de ICT-dienstverlening. En dat is een klassiek voorbeeld van een belangenconflict.

Maar voor de duidelijkheid: dit speelt alleen bij organisaties die een FG moeten aanstellen. Wanneer je dat niet verplicht bent, is het natuurlijk prima om welke werknemer dan ook een extra pakket taken te geven die lijken op wat een FG zou moeten doen. En dat er dan belangenconflicten ontstaan, is alleen maar zakelijk jammer voor jezelf. (En het lijkt me geen leuk werk voor die persoon.)

De AVG noemt drie situaties waarin een FG verplicht is (zie ook de richtlijnen van de AP)f:

  1. Overheidsorganisaties, zowel landelijk als lokale overheden, moeten altijd een FG benoemen. Dit geldt ook voor zorginstellingen en onderwijs dat vanuit de overheid wordt gefinancierd (zie deze blog van mijn collega’s)
  2. Stelselmatige observatie, wanneer een bedrijf of instelling stelselmatig of systematisch mensen volgt dan moet het bedrijf een FG aanstellen. Dat klinkt als recherchebureaus maar ook internetmarketingactiviteiten kunnen eronder vallen. Ook online volgen en profileren is een vorm van “stelselmatige observatie”. Dus doe je meer dan privacyvriendelijk Google Analytics dan kan een FG wel eens verplicht zijn.
  3. Omgang met bijzondere persoonsgegevens, zoals over gezondheid of seksualiteit. Wie daar structureel mee werkt, moet ook een FG benoemen. Dit raakt dus zorginstellingen maar ook vakbonden (het lidmaatschap van een vakbond is een bijzonder persoonsgegeven).

Een veel gehoorde suggestie is dat de security officer binnen het bedrijf ook de rol van FG zou kunnen vervullen. Dat kan denk ik prima naast elkaar, aangenomen dat de vereiste onafhankelijkheid en rapportage rechtstreeks naar de directeur geborgd is. Een belangenconflict tussen deze twee functies zie ik niet snel, tenzij er een situatie ontstaat waarin je vanuit security oogpunt iets geheim wilt houden dat vanwege privacywetgeving gemeld of gepubliceerd moet worden (of andersom).

Kan een directielid ook FG zijn? De chief information security officer of de cto zou dan ook deze pet op kunnen hebben, en dan heb je meteen de rapportage naar de directie geregeld. Maar nee, dat leidt te snel tot belangenconflicten, want je rapporteert dan aan jezelf. Bovendien geldt als vuistregel dat een toezichthoudende rol niet samengaat met een uitvoerende (executive) rol: wie bepaalt wat er gaat gebeuren, moet niet ook gaan toezien op wat er gaat gebeuren. Dus afdelingshoofden en directieleden zijn niet geschikt.

Arnoud

22 reacties

  1. Moet de FG uit 1 persoon bestaan of mag je deze taak ook verdelen over 2-3 personen op verschillende afdelingen? Op die manier kun je de controle van de eigen afdeling, en daarmee belangenverstrengeling, beperken denk ik.

    1. Zijn er conflicterende belangen tussen kwaliteitsmanagement en privacy?

      Ik kan me iets voorstellen bij ISO9000 verplichtingen om klanteninterviews te houden, wat een verwerking van persoonsgegevens kan inhouden of “Dit telefoongesprek kan opgenomen worden voor kwaliteitsdoeleinden”. Zie verder geen onoverkomelijk conflict.

      1. Precies. Mensen denken te vaak dat er niks mag worden gelogd of geregistreerd “van de privacy” maar als het nodig is voor je kwaliteitsmanagement dan mag het natuurlijk. Punt is vooral dat je moet onderbouwen dat het nódig is. Gemakzuchtig maar zo veel mogelijk informatie vragen of het formulier uit 1985 blijven hergebruiken is natuurlijk niet de bedoeling. Waarom moet ik bij de receptie als bezoeker mijn huisadres opgeven, om eens wat te noemen? Waarom moet van de auditor worden vastgelegd of hij man of vrouw is?

  2. “Dus doe je meer dan privacyvriendelijk Google Analytics dan kan een FG wel eens verplicht zijn.” Dit vind ik nogal vaag geformuleerd. Immers, een heleboel ecommerce bedrijven gaan net wat verder dan privacyvriendelijk Google Analytics. Zij kijken naar interesses in aangeboden producten, bouwen daar profielen op, verrijken deze met gegevens zoals postcode en leeftijd, doen aan retargeting en sturen mailings waarvan wordt bijgehouden wie wat heeft geopend. Ben je dan toe aan een FG ?

  3. iets offtopic: de site hier lijdt de laatste tijd wat vaker aan wat caching issues. Ik zie nu bijvoorbeeld rechtsboven in de Laatste Reacties dat je hebt gereageerd op mijn opmerking over Piwik. Maar op de pagina zelf zie ik enkel “Ja.” van 13:13 als laatste reactie, en is zelfs mijn opmerking over Piwik niet meer zichtbaar, hoe ik ook de pagina refresh.

    edit na het plaatsen van deze reactie kan ik nu zien dat mijn bericht van 13:19 er staat als “Uw reactie wacht nog op goedkeuring. Deze zal zo snel mogelijk gepubliceerd worden.” , en kan ik nu jouw reactie daarop wel zien.

    1. Ik kan geen van beiden berichten zien. Ik zag voor je dit bericht plaatste wel de genoemde reactie van Arnoud, met een reactietotaal van 5, hoewel er dus maar 4 te vinden waren. Voor het plaatsen van dit bericht, staat de teller op 6, terwijl er 5 te vinden zijn. Mogelijk is jouw bericht nooit gepubliceerd, heeft Arnoud er wel op gereageerd, en blijft die reactie onzichtbaar maar wel geteld voor iedereen die niet de bevoegdheid heeft om jouw nog-niet-goedgekeurde reactie te zien. Wel een interessante glitch/bug/feature dat je een reactie kunt zien in de “laatste reacties” balk, die onzichtbaar is in het daadwerkelijke artikel.

  4. Hoe gaat dit met kleine bedrijven en zelfstandig ondernemers? Zo heb ik een app die mensen hun babyvoeding laat bijhouden. Dit telt in mijn ogen als een bijzonder persoonsgegeven. Nu heb ik er uiteraard ook voor gezorgd dat ik zelf niet bij de data kan, dus dat is hopelijk goed geregeld.

    Maar heb zou ik als een bedrijf van welgeteld twee mensen ook een losse FG moeten? Wordt wel een beetje gortig.

    1. Er van uitgaande dat je gelijk hebt dat het een bijzonder persoonsgegeven is, ben je verplicht een FG te regelen. De verordening geeft daarom ook de mogelijk om een FG extern in te huren. Naar mijn mening is dit voor de meeste ZZP/MKB bedrijven meestal de beste optie, tenzij er al een jurist in dienst is die de taken erbij kan nemen.

      Als je applicatie bij de data kan, kan jij (als bedrijf) dat ook (want jouw software doet het), dus daar kom je niet zo makkelijk mee weg ben ik bang. Daarnaast moet je ook nog goed nakijken/nadenken over je verwerkersovereenkomst (nu nog bewerkersovereenkomst) en de inhoud daarvan met bijvoorbeeld je hostingpartij en mailprovider. Als het goed is heb je deze al liggen (want ook onder de huidige Wbp is deze al verplicht), maar een FG kan je op dat soort gebieden ook goed adviseren.

      Het voelt dus misschien heel overdreven om een FG te moeten hebben, maar als je met wat voor regels je te maken krijgt, is het denk ik alleen maar goed om daarin advies te krijgen van een gespecialiseerde en onafhankelijke partij/persoon.

  5. Wanneer je dat niet verplicht bent, is het natuurlijk prima om welke werknemer dan ook een extra pakket taken te geven die lijken op wat een FG zou moeten doen. En dat er dan belangenconflicten ontstaan, is alleen maar zakelijk jammer voor jezelf.

    Dit ben ik niet met je eens. In de Richtlijnen voor functionarissen voor gegevensbescherming staat in 2.1:

    Wanneer een organisatie vrijwillig een functionaris voor gegevensbescherming aanwijst, gelden voor zijn of haar aanwijzing, positie en taken dezelfde voorwaarden van de artikelen 37 tot 39 die zouden gelden als de aanwijzing verplicht was geweest.

    In artikel 38 lid 6 van de (officiële vertaling van de) verordening staat juist het stuk over het belangenconflict:

    De functionaris voor gegevensbescherming kan andere taken en plichten vervullen. De verwerkingsverantwoordelijke of de verwerker zorgt ervoor dat deze taken of plichten niet tot een belangenconflict leiden.

    Dit hangt wat mij betreft ook samen met het feit dat de Autoriteit Persoonsgegevens aangeeft dat “de Autoriteit Persoonsgegevens zich terughoudend op stelt bij organisaties met een FG”. Het lijkt me dat de AP hierbij er wel vanuit moet kunnen gaan dat de FG zijn werk goed kan doen (lees: dus ook geen belangenconflict heeft).

    1. Wanneer een organisatie vrijwillig een functionaris voor gegevensbescherming aanwijst, gelden voor zijn of haar aanwijzing, positie en taken dezelfde voorwaarden van de artikelen 37 tot 39 die zouden gelden als de aanwijzing verplicht was geweest.
      Je mag iemand best dat takenpakket geven, als je hem dus maar geen functionaris voor gegevensbescherming noemt.

  6. Ook in onze organisatie zouden we de functie van FG willen combineren met die van Security Officer. In ons geval is de SO degene die de security van ons bedrijf en product (SaaS) analyseert, implementeert en de directie adviseert. De SO is verder niet betrokken bij het vaststellen van het doel en de middelen van de verwerking.

    En juist die twee dingen, het vaststellen van doel en middelen van gegevensverwerking, zouden volgens de Guidelines for Data Protection Officers een belangenconflict opleveren. Als je je laat leiden door deze guidelines kan de functie van FG dus samengaan met elke functie, zoals deze functie maar niet het doel en middelen van de gegevensverwerking vaststelt.

    Hoe denk jij hierover Arnoud?

    1. Ik denk dat een SO in deze positie prima ook de pet van FG kan dragen. De adviezen zullen in beginsel steeds met elkaar stroken, en omdat hij niet betrokken is bij vaststelling doel en middelen kan er geen inhoudelijk conflict ontstaan. Een risicopunt is als security- en privacybelangen verschillende uitkomsten geven. Stel er is een vermoeden van diefstal bedrijfsgeheimen en en de SO wil in ieders mailbox kijken, maar het reglement blijkt daarin niet te voorzien. Met zijn FG pet op moet hij het dus afraden, maar vanuit security perspectief moet hij het toestaan. Wat nu?

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.