Het Juristencollectief

Het Juristen collectief: juridisch advies voor ondernemers, actief in de regio Eindhoven

logojuristenblauw

Update Algemene Verordening Gegevensbescherming (AVG) – 2

, Categorie: Wilma

De Europese Privacy Verordening (de Algemene Verordening Gegevensbescherming AVG) zal per 25 mei 2018 rechtstreeks van toepassing zijn in de lidstaten van de EU. Op 16 december 2016 hebben de Europese toezichthouders, waaronder de Autoriteit Persoonsgegevens als Nederlandse toezichthouder, richtlijnen gepubliceerd in de artikel 29 werkgroep.

In deze richtlijnen wordt een aantal begrippen uit de AVG verduidelijkt. Zo zijn Guidelines en FAQ’s opgesteld omtrent het recht op dataportabiliteit, het aanstellen van een Data Protection Officer, en het systeem van één “lead supervisory authority”. In deze blog zal ik ingaan op het aanstellen van een Data Protection Officer (DPO), ofwel Functionaris Gegevensbescherming in de Nederlandse vertaling van de Verordening.

Data Protection Officer

Op basis van artikel 37 AVG is het aanstellen van een DPO verplicht voor zowel verantwoordelijken als bewerkers indien:

  • de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan
  • de verantwoordelijke of bewerker hoofdzakelijk is belast met verwerkingen die regelmatige en stelselmatige observatie van betrokkenen op grote schaal vergen
  • de verantwoordelijke of bewerker hoofdzakelijk is belast met grootschalige verwerking van bijzondere categorieën persoonsgegevens (op basis van artikel 9 AVG) of strafrechtelijke gegevens als bedoeld in artikel 10 AVG

Overheidsinstantie of overheidsorgaan

De term wordt niet gedefinieerd in de AVG. De werkgroep gaat ervan uit dat dit volgt uit nationale wetgeving. In het geval dat publieke taken worden uitgevoerd door private organisaties, zoals bijvoorbeeld het openbaar vervoer, water- en energieleveranciers en de publieke omroepen, bestaat geen verplichting om een DPO aan te stellen. Toch raadt de werkgroep dit wel aan en adviseert zij bovendien dat de taken van de DPO in zo’n geval ook zien op de verwerkingen van persoonsgegevens die niet vallen onder de publieke taak van de organisatie.

Hoofdzakelijk belast

Hiermee wordt bedoeld dat het gaat om kerntaken van de organisatie. Deze kerntaken zien op de hoofdactiviteiten van een organisatie en niet op de verwerking van persoonsgegevens als nevenactiviteit. Echter in het geval van een ziekenhuis zou je kunnen betogen dat de hoofdactiviteit het leveren is van gezondheidszorg. Aangezien het voor de uitvoering van deze activiteit essentieel is dat bijzondere persoonsgegevens worden verwerkt, is de aanstelling van een DPO verplicht.

Grootschalige verwerking

Er wordt niet concreet aangegeven wanneer sprake is van verwerking op grote schaal. Relevant om te bepalen of sprake is van grootschalige verwerking, zijn de volgende factoren:

  • aantal betrokkenen
  • totale aantal records en/of de soort van verschillende gegevens
  • de duur van de verwerkingsactiviteiten
  • de geografische omvang van de verwerkingsactiviteiten

De werkgroep noemt vervolgens een aantal voorbeelden, zoals banken en verzekeringsmaatschappijen, ov-chipkaart, zoekmachine-, telefoon- en internetproviders.

Regelmatige en stelselmatige observatie

Ook deze term wordt niet afzonderlijk gedefinieerd in de AVG. Er is sprake van regelmatige observatie wanneer dit doorlopend of herhaaldelijk op vaste tijden gebeurt gedurende een bepaalde periode. Wanneer een dergelijke regelmatige observatie dan wordt uitgevoerd op basis van een methode, strategie of plan, dan is er eveneens sprake van stelselmatige observatie. Ook hiervan wordt een aantal voorbeelden genoemd door de werkgroep, locatie tracking, risk assessment, fitness en health data via apps en connected devices (zoals slimme meters, auto’s en domotica).

Vrijwillige aanstelling

De artikel 29 werkgroep juicht het toe wanneer organisaties op vrijwillige basis een DPO aanstellen. De werkgroep is van mening dat een DPO ‘a cornerstone of accountability’ is en dat het aanwijzen daarvan compliance kan bevorderen en bovendien een concurrentievoordeel op kan leveren voor bedrijven.
Of een DPO verplicht of vrijwillig is aangesteld, is niet relevant voor de positie en taken van de DPO.

Actie

Tenzij vooraf heel helder is dat geen DPO behoeft te worden aangesteld is het advies van de werkgroep om als organisatie een belangenafweging te maken of al dan niet een DPO dient te worden aangesteld en deze te documenteren vanuit het kader van accountability.

In het geval niet wordt overgegaan tot het aanstellen van een DPO maar er door een organisatie wel medewerkers of externe consultants worden aangesteld om bepaalde taken te verrichten ten aanzien van bescherming van persoonsgegevens, is het wel essentieel dat heel duidelijk wordt aangegeven dat de desbetreffende persoon niet is aangesteld als DPO voor de organisatie.

Wie kan DPO zijn?

Een DPO kan zowel een medewerker zijn ofwel een extern professional. Op basis van artikel 37 lid 5 AVG wordt een DPO aangewezen ‘op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen de in artikel 39 bedoelde taken te vervullen.’
Dit betekent volgens de werkgroep dat DPO’s voldoende kennis dienen te hebben van de privacywetgeving, met name de AVG. Daarnaast dient de DPO inzicht te hebben in de organisatie en de dataverwerkingen van de organisatie.

Positie DPO

Op basis van artikel 38 AVG dient de DPO naar behoren en tijdig te worden betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens. Een DPO zal aldus regelmatig voor managementvergaderingen worden uitgenodigd en altijd op de hoogte worden gesteld van alle relevante informatie om advies te kunnen uitbrengen ten aanzien van verwerkingsactiviteiten van de organisatie. Ook dient hij/zij op de hoogte gebracht te worden van datalekken. Indien een organisatie het advies van een DPO niet wenst te volgen adviseert de werkgroep de redenen hiervoor vast te leggen binnen de organisatie.

Verder is het belangrijk dat de DPO ondersteuning verkrijgt vanuit de organisatie bij de vervulling van de taken door toegang te verkrijgen tot persoonsgegevens en verwerkingsactiviteiten en door de benodigde middelen ter beschikking te stellen voor het vervullen van de taken en het in stand houden van de deskundigheid. Dergelijke middelen zijn bijvoorbeeld voldoende tijd, budget, faciliteiten en medewerkers/medewerking.

In lid 3 van artikel 38 AVG is bepaald dat een DPO geen instructies ontvang met betrekking tot de uitvoering van de taken. Dit houdt in dat hij/zij volledig onafhankelijk zijn/haar taken kan uitvoeren. Om dit te kunnen waarborgen is eveneens bepaald dat de DPO niet kan worden ontslagen of gestraft voor de uitvoering van de taken.

Taken DPO

Deze volgen uit artikel 39 AVG.

    • a. informeren en adviseren organisatie en medewerkers over verplichtingen op basis van privacywetgeving (met name de AVG)

 

    • b. toezien op naleving van de AVG en van het privacybeleid van de organisatie

 

    • c. desgevraagd advies verstrekken met betrekking tot PIA’s en toezien op de uitvoering daarvan

 

    • d. samenwerken met de Autoriteit Persoonsgegevens

 

    e. optreden als contactpunt voor de Autoriteit Persoonsgegevens

Deze lijst is niet limitatief, maar vormt de minimale taken die aan een DPO moeten worden toegewezen binnen een organisatie. Bij de uitvoering van deze taken houdt de DPO naar behoren rekening met het aan verwerkingen verbonden risico, en met de aard, de omvang, de context en de verwerkingsdoeleinden.
Dit houdt in dat de DPO altijd voornamelijk zal focussen op de issues die hogere privacybeschermingsrisico’s met zich meebrengen.

Deze blog is geschreven door voormalig collega Wilma van de Meerakker.