Data Protection Officer (DPO) / Functionaris Gegevensbescherming (FG)

advertentie

Data Protection - bescherming persoonsgegevens

Data protection is de Engelse term voor bescherming van persoonsgegevens. Een Data Protection Officer (DPO) ziet toe op de naleving van de privacyregelgeving in een organisatie.
De Nederlandse benaming voor Data Protection Officer is Functionaris voor de Gegevensbescherming (FG) of privacyfunctionaris.

Tot de komst van de AVG in mei 2018 mochten organisaties zelf bepalen of ze een Functionaris voor de Gegevensbescherming benoemden: aanstelling van een FG was niet verplicht. De Algemene Verordening Gegevensbescherming kent een aantal situaties waarin een FG verplicht aangesteld moet worden.

Aanstelling Data Protection Officer - Functionaris voor de Gegevensbescherming

De Functionaris voor de Gegevensbescherming houdt toezicht op de toepassing en naleving van de AVG binnen een organisatie. De wettelijke taken en bevoegdheden van de FG geven hem een onafhankelijke positie. Het is mogelijk een externe medewerker als DPO aan te stellen. De DPO moet een natuurlijk persoon zijn.

Eisen, taken, functieomschrijving DPO/ FG

Enkele bronnen:

European Data Protection Board (onder de naam Article 29 Working Party)s: Guidelines on Data Protection Officers
Autoriteit Persoonsgegevens: Richtlijnen Functionaris Gegevensbescherming
Autoriteit Persoonsgegevens: Functionaris Gegevensbescherming
Nederlands Genootschap Functionarissen Gegevensbescherming (NGFG): Privacywet en privacyfunctionaris. Dit document bevat een checklist voor de aanstelling van een FG.

Privacy Officer vs Data Protection Officer

De functie Privacy Officer (of privacyfunctionaris) is algemener dan die van Data Protection Officer. Hij wordt gebruikt voor iemand die binnen een organisatie privacybelangen behartigt maar niet noodzakelijkerwijs aan de taakomschrijving van een DPO voldoet.
Vooral voor buitenstaanders is Privacy Officer een benaming die aanspreekt.

Verplichte aanstelling DPO/FG

De AVG stelt (in artikel 37 ) een Data Protection Officer verplicht bij:

Organisaties die op grote schaal bepaalde categorieën (bijzondere) persoonsgegevens verwerken
Organisaties die op grote schaal individuen 'regelmatig en stelselmatig' volgen
Publieke organisaties en overheidsinstanties (uitgezonderd rechtbanken)

Per land kunnen verplichte situaties worden toegevoegd.
De aanvankelijke eis in de ontwerp-AVG dat een FG verplicht is bij bedrijven met meer dan 250 werknemers, is vervallen.
Het is mogelijk om een DPO aan te stellen als dit niet verplicht is, of iemand aan te stellen die deze taken, of een aantal ervan verricht. Een echte DPO moet als zondanig aangesteld worden.
Zowel de verplichte als de vrijwillige FG's moeten aangemeld worden bij de AP. Het register van FG's is niet openbaar.

Wat zijn de werkzaamheden van een DPO/FG?

Data Protection Officer of Functionaris voor de Gegevensbescherming

De activiteiten van de Functionaris voor de Gegevensbescherming omvatten onder meer:

Toezicht houden
Verzamelen van inventarisaties van gegevensverwerkingen
Het ontwikkelen van interne regelingen
Het bijhouden van meldingen van gegevensverwerkingen
Behandeling van vragen en klachten van personeelsleden, klanten, patiënten
Geven van voorlichting
Adviseren over technologie en beveiliging, waaronder voorlichting over Privacy by Default en Privacy by Design

Een DPO moet onafhankelijk te werk kunnen gaan. Hij of zij rapporteert aan de Raad van Bestuur.
Er is overleg mogelijk met AP, er is geen meldingsplicht bij de AP voor onregelmatigheden.

Het feit dat de AP steeds meer bevoegdheden krijgt en hogere boetes kan uitdelen, vormt naar verwachting een krachtige impuls voor bedrijven om 'privacycompliant' te worden en een Data Protection Officer aan te stellen.

Externe DPO - inhuur FG

De werkzaamheden van de Data Protection Officer mogen door een externe medewerker worden uitgevoerd. In dit verband duiken de begrippen DPO-as-a-service en FG-as-a-service steeds vaker op. Het oursourcen van de DPO-functie heeft zelfs voordelen ten opzichte van een interne Functionaris Gegevensbescherming:

Het biedt een betere waarborg voor de onafhankelijkheid van de Data Protection Officer. Deze wordt immers niet gehinderd door 'politiek' of 'gevoelige tenen' binnen de organisatie.
Een externe Data Protection Officer heeft over het algemeen ervaring met meerdere bedrijven en toegang tot een netwerk van andere functionarissen. Dit kan zijn werk aanzienlijk vergemakkelijken.
Wanneer een FG slechts enkele uren per week of per maand nodig is, dan is inhuur een goede keuze. Dit speelt nog meer als een FG alleen incidenteel geraadpleegd hoeft te worden.
Vanwege de grote vraag naar privacy professionals is het aanstellen van een externe functionaris vaak de enige optie.

Benodigde kennis DPO/FG - certificering

Art. 39 van de verordening vermeldt wat verwacht wordt van een DPO, welke kennis vereist is. Op termijn komt er mogelijk een officiële certificering.

Een certificering is belangrijk bij het opleiden van een medewerker tot Functionaris Gegevensbescherming. Het is ook een selectiecriterium bij de inhuur van een FG. Er is één instituut voor certificering op privacygebied die wereldwijd bekend is: de IAPP. Dit is een internationale vakvereniging voor privacy professionals.
De IAPP kent verschillende certificaten, voor een FG zijn de CIPP/E en CIPM het meest relevant. Een waarborg voor het up-to-date houden van de kennis is dat men jaarlijks een aantal punten moet halen om het certificaat in stand te houden. De punten vertegenwoordigen kennis en vaardigheid in het vakgebied.

Artikel 29-werkgroep --> European Data Protection Board

Op 25 mei 2018 is de European Data Protection Board (EDPB) opgericht. Ze vervangt de Artikel 29-werkgroep. De EDPB neemt besluiten en publiceert documenten en opinies met uitleg over de toepassing van de AVG en andere privacykwesties. Alle voorzitters van de privacytoezichthouders van de EU vormen samen de EPDB.

FG nodig op onderwijsinstellingen

Onderwijsinstellingen zullen over het algemeen een Functionaris Gegevensbescherming aan moeten stellen omdat aan één van deze drie vereisten wordt voldaan:

Betrokkenen regelmatig en stelselmatig worden geobserveerd (met een leerlingenvolgsysteem).
Scholen verwerken bijzondere persoonsgegevens van leerlingen (bijvoorbeeld notities over gezondheid of gedrag).
Veel openbare scholen zijn een publiekrechtelijke instelling gelet op de Aanbestedingsrichtlijn.

Opleidingen / cursussen / trainingen

Er zijn diverse cursussen of opleidingen op het terrein van privacy. De kwaliteit en exacte invulling ervan kunnen verschillen, ze zijn nog in ontwikkeling.

Grotius: specialisatieopleiding Privacyrecht
VPR-A: specialisatieopleiding Privacy- en gegevensbeschermingsrecht
ICTRecht: Juridische opleiding tot privacy officer
ICT en Security Trainingen: Privacy / CIPP
IIR trainingen: Privacy
IMF Academy: Privacy & Data Protection opleidingen
Euroforum: Data Protection Officer
Euroforum: Privacy management in de praktijk
Considerati: Diverse opleidingen Data Protection Officer
Security Academy: Privacy & Data Protection
Duthler Academy: Opleiding Functionaris Gegevensbescherming
Data Protection Institute: Data Protection (België)
Deloitte: Data Protection Officer (België)
SOLV: Opleiding tot Privacy Officer
NIBE-SVV: Opleiding HBO Data Protection Officer

Gerelateerde onderwerpen

Aanvullende informatie

Nederlands Genootschap van Functionarissen Gegevensbescherming Data Protection Officer EC EC: data protection AP: Functionaris Gegevensbescherming AP: positionering van de FG AP: aanmelding FG EC: Europese Privacyverordening (AVG) EC: Europese Privacyverordening (GDPR) International Association of Privacy Professionals (IAPP) Google nieuws: functionaris gegevensbescherming