Nog één jaar en de Algemene verordening gegevensbescherming (AVG) treedt in werking. Met de invoering van de AVG kunt u verplicht zijn een functionaris voor gegevensbescherming aan te stellen. Indien u hiertoe verplicht bent, is het noodzakelijk dat u tijdig ruimte maakt voor deze functie en uw onderneming zo inricht dat deze functionaris zijn werkzaamheden overeenkomstig de AVG kan verrichten.
De verplichting om een functionaris voor gegevensbescherming aan te stellen geldt voor overheidsinstanties en publieke organisaties (ook zorg- en onderwijsinstellingen) en voor organisaties (verwerkers en verantwoordelijken) die regelmatig, systematisch en op grote schaal observeren (het volgen van individuen, profiling, cameratoezicht) of bijzondere persoonsgegevens verwerken (bijvoorbeeld gegevens over gezondheid, ras, strafrechtelijk verleden, politieke opvattingen). Er dient intern onderzoek plaats te vinden om de noodzaak tot het aanstellen van functionaris voor gegevensbescherming vast te kunnen stellen. Deze onderzoeken moeten worden gedocumenteerd. Gelet op mogelijke wijzigingen binnen de organisatie, is dit een dynamisch proces. Een functionaris voor gegevensbescherming is ook vrijwillig aan te stellen. Niet elke onderneming hoeft een eigen functionaris aan te stellen. Het is ook mogelijk om als concern of groep van ondernemingen (bijvoorbeeld via een branchevereniging) een functionaris te ‘delen’. De voorwaarde die hierbij geldt, is dat de functionaris goed bereikbaar is.
Taken en positie
De functionaris voor gegevensbescherming heeft een groot aantal wettelijke taken. Niet alleen moet de functionaris toezien op de toepassing en naleving van de AVG en het beleid dat wordt gevoerd (waaronder bewustmaking en opleiding), ook moet de functionaris informeren en adviseren over de verplichtingen die voortvloeien uit de AVG. Daarnaast werkt de functionaris samen met en treedt op als contactpunt voor de toezichthoudende autoriteit. De functionaris is niet zelf aansprakelijk als de verordening wordt overtreden.
De positie van de functionaris is veilig gesteld in de AVG. Bij álle aangelegenheden die verband houden met de bescherming van persoonsgegevens moet de functionaris naar behoren en tijdig worden betrokken en om advies worden gevraagd. Dit houdt in dat de functionaris toegang wordt verschaft tot persoonsgegevens en verwerkingsactiviteiten. Verder moeten de benodigde middelen voor het kunnen vervullen van de taken en het in stand houden van de deskundigheid aan de functionaris ter beschikking worden gesteld. Indien van het advies van de functionaris wordt afgeweken, dient dit te worden gedocumenteerd.
Omdat de functionaris zijn werk onafhankelijk moet kunnen verrichten, mogen geen instructies worden gegeven met betrekking tot de uitvoering van de taken. Ook mag de functionaris niet worden ontslagen of gestraft voor de uitvoering van zijn taken. De functionaris geniet dezelfde bescherming als leden van de ondernemingsraad en is gehouden tot geheimhouding of vertrouwelijkheid. Als de functionaris ook nog andere werkzaamheden verricht, mogen deze niet tot een belangenconflict leiden.
Conclusie
De functionaris voor gegevensbescherming is een expert en vervult een belangrijke positie binnen de onderneming. De functionaris dient te beschikken over specialistische deskundigheid met betrekking tot de privacywetgeving en de onderneming (waaronder deskundigheid met betrekking tot informatiesystemen, verwerkingsprocessen en te nemen beveiligingsmaatregelen).
Tegelijkertijd dient de onderneming klaar te zijn voor de AVG en deze functionaris. Is voor management en personeel duidelijk wat de taken en bevoegdheden van de functionaris zijn, wordt de functionaris in voldoende mate gefaciliteerd en wordt de functionaris in staat gesteld om zijn werkzaamheden onafhankelijk uit te oefenen? Ook omdat het vinden van een geschikte kandidaat niet eenvoudig is en het klaarmaken van de onderneming tijd kost, is het noodzakelijk om tijdig op zoek te gaan naar een functionaris voor gegevensbescherming zodat uw organisatie op tijd voldoet aan de AVG.
Irvette Tempelman en Marion Hagenaars, Cordemeyer & Slager / Advocaten te Haarlem
Enigszins wereldvreemde adviezen lees ik in dit artikel.
De GDPR is een wettelijk framework uitgedacht door rechtsgeleerden, dat zich slechts met veel moeite laat vertalen in concrete aanbevelingen in het ICT domein. Het zal dan ook wel een jaar of 4-5 duren voordat op dit niveau zelfs de middelen bestaan om deze regels na te leven.
Een “functionaris voor gegevensbescherming” is dan ook een abstractie. Hoeveel mensen zijn er te vinden in NL met specialistische rechtskennis en ICT-kennis?
Verder mag “de functionaris niet worden ontslagen of gestraft voor de uitvoering van zijn taken.” Maar zijn hoofdtaak is ervoor te zorgen dat “hij toezien op de toepassing en naleving van de AVG”. Wat nu als hij juist daarin aantoonbaar heeft gefaald en de onderneming hierdoor een boete heeft opgelegd gekregen van de DP authoriteit?
Lees de wet eens, met name de artikelen 62, 63 en 64: http://wetten.overheid.nl/BWBR0011468/2017-03-10.
De bedoeling is dat een organisatie die min of meer gevoelige persoonsgegevens verwerkt, iemand heeft (en betaalt) die als verlengstuk, ofwel mond, ogen en oren, van het College bescherming persoonsgegevens binnen de organisatie opereert. Vanuit de overheid gezien wel een handige zet.
Het is afwachten hoe pragmatisch of formeel dit college zich opstelt in de omgang met deze functionarissen.
@KJ: Straffen is iets anders dan aansprakelijk stellen voor geleden schade.
@KvZ
Volgens artikel 62 kan een organisatie zo’n functionaris benoemen, maar ik zie daar niet staan dat het een verplichting is. Ik denk niet dat de meeste bedrijven erop zitten te wachten om een door henzelf betaald “verlengstuk van het CBP” aan te stellen, omdat zij zelf wel in staat zijn om de regie te voeren over de melding en afhandeling van een datalek. Het bedrijf zal in die situatie elke vorm van schade willen beperken terwijl de functionaris voor gegevensbescherming primair en zo snel mogelijk de preciese omvang en impact van dat datalek aan het CPB wil melden. Daar zit toch wel een conflict lijkt mij.
Verder is het nog maar de vraag of zo’n functionaris binnen de komende 5 jaar relevante adviezen kan geven, aangezien niemand op dit moment in staat is om die te vertalen in concrete ICT adviezen. De meeste leveranciers van ICT produkten hebben nog geen idee wat er allemaal op ze afkomt, laat staan hun klanten.
Dus is dat wel een lucratieve baan, zo’n “functionaris voor gegevensbescherming”. Misschien iets voor de inmiddels alweer in de vergetelheid geraakte “datamanager” (van de vorige hype). Goed betaald contract (want: “zeldzame kennis”), wat vrijblijvend (want niet verantwoordelijk voor eventuele datalekken die optreden) voorlezen en quoten uit de GDPR aan een aantal klanten als een soort privacy-wetgeving orakel, terwijl de bedrijven dat weer zelf moeten gaan vertalen in concreet te nemen maatregelen.