Wacht, de ICT-manager mag niet ook de privacy officer zijn?

Een Duits bedrijf heeft een boete gekregen omdat haar IT-manager ook de rol van functionaris gegevensbescherming oftewel privacy officer had, las ik bij IAPP. Daarmee werd de wettelijk verplichte onafhankelijke status van de FG aangetast. Dat wordt nog een uitdaging dus als deze functie ook in Nederland een grote vlucht gaat nemen – in veel organisaties is de taak van privacy officer parttime, en doet deze persoon daarnaast nog een andere functie. Vaak security, maar ook ICT algemeen komt veel voor. En nee, dat mag bij ons straks onder de AVG ook niet zomaar.

De functionaris gegevensbescherming (FG) ook wel privacy officer genoemd is een wettelijk gedefinieerde functie. Het gaat om een onafhankelijk opererend persoon in de organisatie die mensen adviseert, begeleidt en traint op het gebied van privacy en persoonsgegevens, maar ook toeziet op een correcte naleving van de wet. (Hij is geen verlengstuk van de toezichthouder, meer dan iets dringend afraden bij de directie kan hij niet doen.)

De FG opereert onafhankelijk, zo bepaalt artikel 38 lid 3 van de AVG:

De verwerkingsverantwoordelijke en de verwerker zorgen ervoor dat de functionaris voor gegevensbescherming geen instructies ontvangt met betrekking tot de uitvoering van die taken. Hij wordt door de verwerkingsverantwoordelijke of de verwerker niet ontslagen of gestraft voor de uitvoering van zijn taken. De functionaris voor gegevensbescherming brengt rechtstreeks verslag uit aan de hoogste leidinggevende van de verwerkingsverantwoordelijke of de verwerker.

De FG mag dus niet worden aangestuurd door een hoger persoon in de hiërarchie. Hij hoort dus eigenlijk direct onder de directie aangesteld te zijn en daar direct aan te rapporteren.

Naast zijn werk als FG mag deze persoon ook andere taken vervullen, maar het bedrijf of organisatie dient er dan voor te zorgen dat hierbij geen belangenconflict kan optreden. Dat was dus de fout hier: omdat deze persoon ook de rol van ICT manager had, moest hij zichzelf controleren op naleving van de privacywet bij de ICT-dienstverlening. En dat is een klassiek voorbeeld van een belangenconflict.

Maar voor de duidelijkheid: dit speelt alleen bij organisaties die een FG moeten aanstellen. Wanneer je dat niet verplicht bent, is het natuurlijk prima om welke werknemer dan ook een extra pakket taken te geven die lijken op wat een FG zou moeten doen. En dat er dan belangenconflicten ontstaan, is alleen maar zakelijk jammer voor jezelf. (En het lijkt me geen leuk werk voor die persoon.)

De AVG noemt drie situaties waarin een FG verplicht is (zie ook de richtlijnen van de AP)f:

  1. Overheidsorganisaties, zowel landelijk als lokale overheden, moeten altijd een FG benoemen. Dit geldt ook voor zorginstellingen en onderwijs dat vanuit de overheid wordt gefinancierd (zie deze blog van mijn collega’s)
  2. Stelselmatige observatie, wanneer een bedrijf of instelling stelselmatig of systematisch mensen volgt dan moet het bedrijf een FG aanstellen. Dat klinkt als recherchebureaus maar ook internetmarketingactiviteiten kunnen eronder vallen. Ook online volgen en profileren is een vorm van “stelselmatige observatie”. Dus doe je meer dan privacyvriendelijk Google Analytics dan kan een FG wel eens verplicht zijn.
  3. Omgang met bijzondere persoonsgegevens, zoals over gezondheid of seksualiteit. Wie daar structureel mee werkt, moet ook een FG benoemen. Dit raakt dus zorginstellingen maar ook vakbonden (het lidmaatschap van een vakbond is een bijzonder persoonsgegeven).

Een veel gehoorde suggestie is dat de security officer binnen het bedrijf ook de rol van FG zou kunnen vervullen. Dat kan denk ik prima naast elkaar, aangenomen dat de vereiste onafhankelijkheid en rapportage rechtstreeks naar de directeur geborgd is. Een belangenconflict tussen deze twee functies zie ik niet snel, tenzij er een situatie ontstaat waarin je vanuit security oogpunt iets geheim wilt houden dat vanwege privacywetgeving gemeld of gepubliceerd moet worden (of andersom).

Kan een directielid ook FG zijn? De chief information security officer of de cto zou dan ook deze pet op kunnen hebben, en dan heb je meteen de rapportage naar de directie geregeld. Maar nee, dat leidt te snel tot belangenconflicten, want je rapporteert dan aan jezelf. Bovendien geldt als vuistregel dat een toezichthoudende rol niet samengaat met een uitvoerende (executive) rol: wie bepaalt wat er gaat gebeuren, moet niet ook gaan toezien op wat er gaat gebeuren. Dus afdelingshoofden en directieleden zijn niet geschikt.

Arnoud

Wanneer hebben wij een data protection officer nodig als bedrijf?

privacy-statement.jpgEen lezer vroeg me:

In 2018 komt de Privacyverordening eraan. Eén van de plichten daaruit is het aanstellen van een data protection officer ofwel een functionaris gegevensbescherming. Maar welke bedrijven moeten dit nu verplicht doen?

De functionaris voor de gegevensbescherming oftewel de data protection officer (DPO) is een onafhankelijk en deskundig persoon binnen de organisatie van de verwerker met als taak informeren en adviseren over de omgang met persoonsgegevens. De functionaris mag een werknemer zijn of een extern ingehuurde kracht. Het idee is dat je zo meer nadruk op toezicht en naleving van de Privacyverordening kunt leggen.

Aanstellen van een functionaris voor gegevensbescherming is verplicht in drie situaties, zo staat in artikel 37 van de Verordening:

  1. de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken; Overheidsinstanties dus (rechtbanken zijn kort gezegd vrijgesteld van toezicht wegens de rechterlijke onafhankelijkheid)
  2. een verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen; Het moet dus gaan om het uitvoeren van regelmatige en stelselmatige observatie op grote schaal van betrokkenen. Te denken valt aan recherchebureaus, maar ook aan internetbedrijven die diensten aanbieden om websitebezoek zeer gedetailleerd te monitoren (analytics).
  3. de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met grootschalige verwerking van [bijzondere en strafrechtelijke persoonsgegevens]; dit zijn bijvoorbeeld persoonsgegevens over ras, seksuele voorkeur of politieke gezindheid.

Er zijn dus géén getalsmatige criteria, zoals in eerdere concepten van de Verordening nog wel stonden. Diverse artikelen verwijzen hier nog naar, bijvoorbeeld dat je pas een functionaris nodig hebt vanaf 500 medewerkers of als je van 250 mensen of meer persoonsgegevens verwerkt. Dat is dus allemaal niet meer uit de wet af te leiden.

Nadere Europese of nationale wetgeving kan voorschrijven dat in andere gevallen een functionaris verplicht is (lid 4). Het staat organisaties vrij daarnaast vrijwillig een functionaris te benoemen (lid 4). En dat kan nut hebben: een bedrijf met een goed opererende functionaris zal minder snel door de toezichthouder worden besprongen met audits en boetes. En als je bedenkt dat die 20 miljoen per overtreding kunnen zijn, dan loont het best de moeite daarover na te denken.

Arnoud