De functionaris voor gegevensbescherming: What’s in a name?

Organisaties hadden altijd al de mogelijkheid om een interne toezichthouder op de bescherming van persoonsgegevens aan te stellen. Zo iemand werd een functionaris voor de gegevensbescherming (FG) genoemd. De FG hield binnen de organisatie toezicht op de toepassing en naleving van de Wet bescherming persoonsgegevens (Wbp). Met de komst van de Algemene verordening gegevensbescherming (AVG) zijn de taken en de positie van de FG niet wezenlijk veranderd maar meer expliciet in de wet verankerd. Wel is de naam van de toezichthouder gewijzigd in Functionaris voor gegevensbescherming. De verplichting om bij sommige organisaties een FG aan te stellen is wel nieuw. Dat verklaart de explosie aan FG’s rondom de invoeringsdatum van de AVG.

Bij de invoering van de Wbp in Nederland heeft de rijksoverheid destijds al besloten tot het aanstellen van een verplichte FG per ministerie. Om die reden hebben departementale FG’s inmiddels vele jaren ervaring opgedaan met deze wettelijke functie. Het benutten van deze ervaringen kan leerzaam zijn.

What does it mean?

De FG vervult volgens artikel 39 AVG tenminste de volgende taken:

  1. de verwerkingsverantwoordelijke of de verwerker en de werknemers die verwerken, informeren en adviseren over hun verplichtingen uit hoofde van deze verordening en andere Unierechtelijke of lidstaatrechtelijke gegevensbeschermingsbepalingen;
  2. toezien op naleving van deze verordening, van andere Unierechtelijke of lidstaatrechtelijke gegevensbeschermingsbepalingen en van het beleid van de verwerkingsverantwoordelijke of de verwerker met betrekking tot de bescherming van persoonsgegevens, met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het bij de verwerking betrokken personeel en de betreffende audits;
  3. desgevraagd advies verstrekken met betrekking tot de gegevensbeschermingseffect-beoordeling en toezien op de uitvoering daarvan in overeenstemming met artikel 35;
  4. met de toezichthoudende autoriteit samenwerken;
  5. optreden als contactpunt voor de toezichthoudende autoriteit inzake met verwerking verband houdende aangelegenheden, met inbegrip van de in artikel 36 bedoelde voorafgaande raadpleging, en, waar passend, overleg plegen over enige andere aangelegenheid.

Ik veroorloof me enkele aanvullingen op deze op zichzelf heldere wettekst.

Privacy Policy

Met verwijzing naar eerdere blogs over misverstanden vraag ik aandacht voor het privacybeleid zoals hierboven genoemd onder b). Een FG houdt toezicht op de wet maar ook en vooral op het privacybeleid van de verwerkingsverantwoordelijke. In dit privacybeleid moet huiselijk gezegd iets staan over governance, awareness, training en audits. Dit privacybeleid is niet facultatief maar een keiharde wettelijke verplichting:

“wanneer zulks in verhouding staat tot de verwerkingsactiviteiten, omvatten de in lid 1 (van artikel 24 AVG) bedoelde maatregelen een passend gegevensbeschermingsbeleid dat door de verwerkingsverantwoordelijke wordt uitgevoerd.”

Als FG zal ik altijd vragen naar het privacybeleid. De volgende vragen passeren dan de revue: Is er privacybeleid? Door wie is het vastgesteld? Is het actueel? Is het volledig (governance, awareness, training, audits)? Is het voldoende bekend bij alle medewerkers? Werkt het? Hoe toets je de werking? Hoe borg je de kwaliteit van een werkend privacybeleid?

Mandatory

Een ander punt waar ik graag aandacht voor vraag is de vermeende facultatieve adviesrol van de FG zoals genoemd onder c) bij het uitvoeren van een DPIA. Wetgeving is niet altijd logisch en lijkt soms inconsequent. Om recht te doen aan alle mogelijke situaties worden hoofdregels geformuleerd die altijd ruim moeten worden geïnterpreteerd. Op deze hoofdregels worden uitzonderingen gemaakt die altijd beperkt (restrictief) moeten worden uitgelegd. Vervolgens kunnen op de uitzonderingen weer uitzonderingen volgen. Enzovoorts en zo verder.

De moraal van dit verhaal is dat je nooit kunt volstaan met het lezen van een stukje wettekst. Je zult de hele wettekst door moeten plus de preambule waarin allerlei overwegingen staan die hebben meegespeeld bij de totstandkoming van de wettekst.

Terugkomend op het ogenschijnlijk vrijblijvende karakter van artikel 37 onder c) over de inzet van de FG bij een DPIA wijs ik op artikel 35, tweede lid AVG. Daar staat immers iets heel anders:

“Wanneer een FG is aangewezen, wint de verwerkingsverantwoordelijke bij het uitvoeren van een gegevensbeschermingseffectbeoordeling (een DPIA dus) diens advies in.”

Dat is een dwingend voorschrift en geeft aan dat er geen enkele keuzevrijheid is. De conclusie is dat er bij de uitvoering van een DPIA altijd verplicht advies moet worden gevraagd aan de FG van dienst. De andere kant van het verhaal is dat een FG ook altijd verplicht is om te adviseren bij het uitvoeren van een DPIA. Het verdient dan ook aanbeveling om goede afspraken te maken met de FG over dit advies.

In een volgend blog zullen we verder ingaan op de DPIA-procedure. Daarin hebben we aandacht voor de volgende vragen: Hoe voer je een DPIA uit? Wat doe je met de resultaten van een DPIA? Wie zijn stakeholders bij een DPIA? Hoe kun je de adviestaak van de FG invullen bij een DPIA? Wat zijn kritische succesfactoren of prestatie-indicatoren bij het uitvoeren van een DPIA?

Eye opener

Tot slot aandacht voor een veel voorkomend en super hardnekkig misverstand. In het tweede lid van artikel 39 AVG vind je een belangrijke wettelijke eis aan een FG waar nog niet veel aandacht voor lijkt te zijn:

“De functionaris voor gegevensbescherming houdt bij de uitvoering van zijn taken naar behoren rekening met het aan de verwerkingen verbonden risico, en met de aard, de omvang, de context en de doelen van de verwerking.”

Er lijkt te zijn bedoeld dat de FG kan variëren in gedrag en aanpak naar gelang de ernst van de zaak. Dan is het goed om voor ogen te houden dat de ernst van de zaak wordt bepaald door de risico’s van de betrokkenen op onvoldoende bescherming van hun persoonsgegevens. Het gaat hier dus niet om bedrijfsrisico’s zoals imagoschade of omzetverlies. Ook de Autoriteit Persoonsgegevens (AP) benadrukt dat het gaat om de risico’s op inbreuken in de persoonlijke levenssfeer van natuurlijke personen. Zo is een Data protection impact assessment (DPIA) volgens de Autoriteit Persoonsgegevens (AP) een instrument om vooraf deze privacyrisico’s van een gegevensverwerking in kaart te brengen. Het hier bedoelde privacyrisico is het risico dat een verwerking oplevert voor betrokkenen. Betrokkenen in dit geval zijn de mensen (natuurlijke personen) van wie de organisatie gegevens verwerkt, aldus de AP. Waarvan akte.

 

Bron: Blog Aafke Stuijt van Privacy Company