Data Protection Officer (DPO) / Functionaris Gegevensbescherming (FG)

Aanstelling Data Protection Officer - Functionaris voor de Gegevensbescherming

Een functionaris voor de gegevensbescherming of FG (in het Engels: DPO) houdt toezicht op de toepassing en naleving van de Algemene Verordening Gegevensbescherming (AVG) binnen een organisatie. De wettelijke taken en bevoegdheden van de FG geven hem een onafhankelijke positie. Het is mogelijk een externe medewerker als FG aan te stellen, zolang het maar een natuurlijke persoon is.

Eisen, taken, functieomschrijving FG/DPO

Enkele bronnen:

• AVG: Functionaris voor gegevensbescherming
• EDPB: Richtsnoeren Functionaris Gegevensbescherming
• Autoriteit Persoonsgegevens: Functionaris Gegevensbescherming
• Nederlands Genootschap Functionarissen Gegevensbescherming (NGFG): Privacywet en privacyfunctionaris. Dit document bevat een checklist voor de aanstelling van een FG.

Privacy officer vs data protection officer

Bij sommige organisaties wordt de functionaris voor gegevensbescherming 'privacy officer' genoemd. Duidelijker is het als er tussen deze twee benamingen onderscheid wordt aangebracht. De privacy officer is dan degene die zich bezighoudt met de meer uitvoerende taken, waaronder het opstellen en onderhouden van verwerkingsregister, datalekregister, privacybeleid enz. De functionaris voor gegevensbescherming is degene die zich bezighoudt met het toezicht hierop en het geven van advies. Ook functioneert laatsgenoemde als contactpersoon voor de Autoriteit Persoonsgegevens.
Ongeacht de gebruikte terminologie moet het voor de buitenwacht duidelijk zijn of een privacy officer FG is of niet. De AVG stelt immers bijzondere eisen aan de functie en positie van deze functionaris.

Verplichte aanstelling DPO/FG

De AVG stelt (in artikel 37 ) een functionaris gegevensbescherming verplicht voor:

• Organisaties die op grote schaal bepaalde categorieën (bijzondere) persoonsgegevens verwerken
• Organisaties die op grote schaal individuen 'regelmatig en stelselmatig' volgen
• Publieke organisaties en overheidsinstanties (uitgezonderd rechtbanken)

Daarnaast kan elke EU-lidstaat ook voor andere organisaties bepalen dat aanstelling van een FG verplicht is.
Natuurlijk kan een organisatie ook een FG aanstellen als dat niet verplicht is. Zowel de verplichte als de vrijwillige FG's moeten worden aangemeld bij de AP. Het register van FG's is overigens niet openbaar.

Wat zijn de werkzaamheden van een DPO/FG?

De activiteiten van de FG omvatten onder meer:

• Toezicht houden
• Verzamelen van inventarisaties van gegevensverwerkingen
• Ontwikkelen van interne regelingen
• Bijhouden van meldingen van gegevensverwerkingen
• Behandeling van vragen en klachten van personeelsleden, klanten, patiënten
• Geven van voorlichting
• Adviseren over technologie en beveiliging, waaronder voorlichting over Privacy by Default en Privacy by Design

Een FG moet onafhankelijk te werk kunnen gaan en rapporteert aan de hoogste leidinggevende van de organisatie. Daarnaast is hij het aanspreekpunt voor de Autoriteit Persoonsgegevens.

Externe FG - inhuur FG

De werkzaamheden van de functionaris voor de gegevensbescherming mogen door een externe medewerker worden uitgevoerd. In dit verband duiken de begrippen DPO-as-a-service en FG-as-a-service steeds vaker op. Het oursourcen van de FG-functie heeft zelfs voordelen ten opzichte van een interne FG:

• Het biedt een betere waarborg voor de onafhankelijkheid van de FG. Deze wordt immers niet gehinderd door 'politiek' of 'gevoelige tenen' binnen de organisatie.
• Een externe FG heeft over het algemeen ervaring met meerdere bedrijven en toegang tot een netwerk van andere functionarissen. Dit kan zijn werk aanzienlijk vergemakkelijken.
• Wanneer een FG slechts enkele uren per week of per maand nodig is, dan is inhuur een goede keuze. Dit speelt nog meer als een FG alleen incidenteel geraadpleegd hoeft te worden.
• Vanwege de grote vraag naar privacy professionals is het aanstellen van een externe functionaris vaak de enige optie.



Benodigde kennis DPO/FG - certificering

Art. 39 van de verordening vermeldt wat mag worden verwacht van een FG en welke kennis vereist is. Op termijn komt er mogelijk een officieel erkende certificering.

Een certificering is belangrijk bij het opleiden van een medewerker tot FG. Het is ook een selectiecriterium bij de inhuur van een FG. De IAPP, een wereldwijd opererende beroepsorganisatie voor privacyprofessionals, verzorgt privacyopleidingen en geeft certificaten uit. Voor een FG zijn het CIPP/E- en het CIPM-certificaat het meest relevant. Een waarborg voor het up-to-date houden van de kennis is dat men jaarlijks een aantal punten moet behalen om het certificaat in stand te houden. De punten vertegenwoordigen kennis en vaardigheid in het vakgebied.

Van Artikel 29-werkgroep naar European Data Protection Board

Op 25 mei 2018 is de European Data Protection Board of EDPB (in het Nederlands: Europees comité voor de gegevensbescherming) opgericht. Deze is in de plaats gekomen van de Artikel 29-werkgroep (WP29), en heeft meer bevoegdheden. De EDPB, waarin de privacytoezichthouders van de EU-lidstaten vertegenwoordigd zijn, neemt besluiten en publiceert documenten en opinies met uitleg over de toepassing van de AVG en andere privacykwesties. De voorganger van de EDPB heeft richtsnoeren voor de FG uitgegeven (ook in het Nederlands). Deze richtsnoeren zijn nog altijd relevant. Klik hier voor meer informatie over taken en rol van de EDPB.

Opleidingen / cursussen / trainingen

Er zijn diverse cursussen en opleidingen op het gebied van privacy. Zie hieronder een overzicht.

• Grotius: Specialisatieopleiding Privacyrecht
• VPR-A: Specialisatieopleiding Privacy- en gegevensbeschermingsrecht
• ICTRecht: Juridische opleiding tot privacy officer
• IAPP: Certification programs
• SBO: Functionaris Gegevensbescherming
• Considerati: Opleiding Data Protection Officer
• Data Protection Institute: DPO opleidingen (België)
• NCOI: HBO Data Protection Officer
• Outvie: Functionaris gegevensbescherming publieke sector



Gerelateerde onderwerpen