Wacht, de ICT-manager mag niet ook de privacy officer zijn?

Een Duits bedrijf heeft een boete gekregen omdat haar IT-manager ook de rol van functionaris gegevensbescherming oftewel privacy officer had, las ik bij IAPP. Daarmee werd de wettelijk verplichte onafhankelijke status van de FG aangetast. Dat wordt nog een uitdaging dus als deze functie ook in Nederland een grote vlucht gaat nemen – in veel organisaties is de taak van privacy officer parttime, en doet deze persoon daarnaast nog een andere functie. Vaak security, maar ook ICT algemeen komt veel voor. En nee, dat mag bij ons straks onder de AVG ook niet zomaar.

De functionaris gegevensbescherming (FG) ook wel privacy officer genoemd is een wettelijk gedefinieerde functie. Het gaat om een onafhankelijk opererend persoon in de organisatie die mensen adviseert, begeleidt en traint op het gebied van privacy en persoonsgegevens, maar ook toeziet op een correcte naleving van de wet. (Hij is geen verlengstuk van de toezichthouder, meer dan iets dringend afraden bij de directie kan hij niet doen.)

De FG opereert onafhankelijk, zo bepaalt artikel 38 lid 3 van de AVG:

De verwerkingsverantwoordelijke en de verwerker zorgen ervoor dat de functionaris voor gegevensbescherming geen instructies ontvangt met betrekking tot de uitvoering van die taken. Hij wordt door de verwerkingsverantwoordelijke of de verwerker niet ontslagen of gestraft voor de uitvoering van zijn taken. De functionaris voor gegevensbescherming brengt rechtstreeks verslag uit aan de hoogste leidinggevende van de verwerkingsverantwoordelijke of de verwerker.

De FG mag dus niet worden aangestuurd door een hoger persoon in de hiërarchie. Hij hoort dus eigenlijk direct onder de directie aangesteld te zijn en daar direct aan te rapporteren.

Naast zijn werk als FG mag deze persoon ook andere taken vervullen, maar het bedrijf of organisatie dient er dan voor te zorgen dat hierbij geen belangenconflict kan optreden. Dat was dus de fout hier: omdat deze persoon ook de rol van ICT manager had, moest hij zichzelf controleren op naleving van de privacywet bij de ICT-dienstverlening. En dat is een klassiek voorbeeld van een belangenconflict.

Maar voor de duidelijkheid: dit speelt alleen bij organisaties die een FG moeten aanstellen. Wanneer je dat niet verplicht bent, is het natuurlijk prima om welke werknemer dan ook een extra pakket taken te geven die lijken op wat een FG zou moeten doen. En dat er dan belangenconflicten ontstaan, is alleen maar zakelijk jammer voor jezelf. (En het lijkt me geen leuk werk voor die persoon.)

De AVG noemt drie situaties waarin een FG verplicht is (zie ook de richtlijnen van de AP)f:

  1. Overheidsorganisaties, zowel landelijk als lokale overheden, moeten altijd een FG benoemen. Dit geldt ook voor zorginstellingen en onderwijs dat vanuit de overheid wordt gefinancierd (zie deze blog van mijn collega’s)
  2. Stelselmatige observatie, wanneer een bedrijf of instelling stelselmatig of systematisch mensen volgt dan moet het bedrijf een FG aanstellen. Dat klinkt als recherchebureaus maar ook internetmarketingactiviteiten kunnen eronder vallen. Ook online volgen en profileren is een vorm van “stelselmatige observatie”. Dus doe je meer dan privacyvriendelijk Google Analytics dan kan een FG wel eens verplicht zijn.
  3. Omgang met bijzondere persoonsgegevens, zoals over gezondheid of seksualiteit. Wie daar structureel mee werkt, moet ook een FG benoemen. Dit raakt dus zorginstellingen maar ook vakbonden (het lidmaatschap van een vakbond is een bijzonder persoonsgegeven).

Een veel gehoorde suggestie is dat de security officer binnen het bedrijf ook de rol van FG zou kunnen vervullen. Dat kan denk ik prima naast elkaar, aangenomen dat de vereiste onafhankelijkheid en rapportage rechtstreeks naar de directeur geborgd is. Een belangenconflict tussen deze twee functies zie ik niet snel, tenzij er een situatie ontstaat waarin je vanuit security oogpunt iets geheim wilt houden dat vanwege privacywetgeving gemeld of gepubliceerd moet worden (of andersom).

Kan een directielid ook FG zijn? De chief information security officer of de cto zou dan ook deze pet op kunnen hebben, en dan heb je meteen de rapportage naar de directie geregeld. Maar nee, dat leidt te snel tot belangenconflicten, want je rapporteert dan aan jezelf. Bovendien geldt als vuistregel dat een toezichthoudende rol niet samengaat met een uitvoerende (executive) rol: wie bepaalt wat er gaat gebeuren, moet niet ook gaan toezien op wat er gaat gebeuren. Dus afdelingshoofden en directieleden zijn niet geschikt.

Arnoud