Blog over recht en ICT

      rechtenict@juridict.nl

Data Protection Officer

Data Protection Officer binnen de Avg

In deze blog ga ik verder in op de Algemene verordening gegevensbescherming (Avg). In een eerdere blog schreef ik dat er binnen de Avg voor sommige organisaties een verplichting ontstaat om een Data Protection Officer (DPO) aan te stellen. Op grond van de Avg zijn vanaf 2018 alle publieke instanties verplicht om een Data Protection Officer aan te stellen. Deze functie wordt ook wel betiteld als functionaris voor de Gegevensbescherming (FG). Ook voor sommige andere typen organisaties wordt dit een verplichting. Wanneer je als organisatie gegevens verwerkt waarvan de aard van de verwerking (zoals het soort gegevens, het doel, de reikwijdte, grootschalige en stelselmatige monitoring van betrokkenen) hiertoe aanleiding geeft of in geval van grootschalige verwerking van bijzondere gegevens, moet je een DPO aanstellen. Elke andere organisatie is in principe vrij om een DPO aan te stellen. Onder bepaalde omstandigheden kan er ook voor bewerkers een verplichting ontstaan om een DPO aan te stellen.

Is het nu Data Protection Officer of Functionaris gegevensbescherming?

Een functionaris gegevensbescherming (FG) is een taak die in art 62 Wbp is omschreven als iemand die door een verantwoordelijke (de organisatie) of brancheorganisatie is aangewezen.

Een Data Protection Officer is de Engelse term voor een FG die vooral wordt gebruikt in relatie met de  Algemene Verordening Gegevensbescherming (AVG). Een organisatie die geen verplichting heeft om een FG of DPO aan te stellen, kan er vrijwillig voor kiezen om bijvoorbeeld een Data Privacy Officer, een Compliance Officer of een bedrijfsjurist aan te stellen. 

Aan welke vereisten dient een Data Protection Officer te voldoen en wat is zijn taak? 

Art 37 lid 5 Avg: De functionaris voor gegevensbescherming wordt aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen de in artikel 39 bedoelde taken te vervullen. 

Qua profiel kan worden gedacht aan een jurist met IT kennis.

De DPO is een onafhankelijk persoon die toeziet op de algemene kwaliteit van het beleid betreffende de bescherming van persoonsgegevens in een organisatie. De DPO heeft allereerst een adviserende taak en dient de verantwoordelijke of bewerker en de werknemers die persoonsgegevens verwerken, te informeren en te adviseren over hun verplichtingen op grond van alle privacy regelgeving. Daarnaast dient hij toe te zien op de naleving van alle privacy regels en ook op het beleid hieromtrent met inbegrip van de toewijzing van verantwoordelijkheden. De DPO is proactief bezig met de bewustmaking en de opleiding van het bij de verwerking betrokken personeel en ziet toe op de naleving van de betreffende audits en de Privacy Impact Assessments (PIA’s). De taken voor deze DPO (of functionaris gegevensbescherming) staan volledig opgesomd in art. 39 Avg.

Een Data Protection Officer kun je ook inhuren

Een Data Protection Officer kan een werknemer in loondienst zijn maar dit is geen vereiste. Een DPO kan ook worden aangesteld op grond van een dienstverleningsovereenkomst. Zo kan er bijvoorbeeld een privacy consultant voor deze taak worden ingehuurd.