Juridisch up to Date
   

Aan de slag met de ‘privacyverordening’: de Functionaris Gegevensverwerking/Data Protection Officer

Veel bedrijfsjuristen zijn bezig hun organisaties voor te bereiden op de komst van de privacyverordening of formeel de Algemene Verordening Gegevensbescherming (AVG), die vanaf 25 mei 2018 van toepassing is. Onder de noemer ‘Aan de slag met de AVG’ verschijnt tot mei 2018 de komende periode een reeks artikelen in Juridisch Up to Date die u kunnen helpen in kaart te brengen welke AVG-verplichtingen op uw organisatie van toepassing zijn en hoe uw organisatie het beste daaraan uitvoering kan geven. Tevens sluit waar mogelijk elk artikel af met een aantal to do’s waarmee u uw AVGactieplan kunt aanvullen.

De Artikel 29 Werkgroep (WP29) –het adviesorgaan waarin alle EU privacytoezichthouders zitting hebben- heeft op 13 december 2016 concept-richtsnoeren over de ‘Data Protection Offcier’ (DPO) of in het Nederland vertaald de ‘Functionaris Gegevensbescherming’ (FG) gepubliceerd.1 Organisaties hadden tot en met 31 januari 2017 de tijd om bij WP29 dan wel de Autoriteit Persoonsgegevens een reactie dan wel opmerkingen in te (laten) dienen.2 Aangezien de meeste (Nederlandse) organisaties moeten beslissen of zij een FG moeten aanstellen, gaat de eerste bijdrage van de serie ‘Aan de slag met de AVG’ in op het aanstellingsvereisten, de taken en de positie van de FG. In dit artikel worden de verplichtingen opgenomen in artikelen 37-39 AVG en de belangrijkste aanvullingen daarop van WP29 grotendeels besproken in de richtsnoeren, dit aan de hand van de volgende praktische vragen:

  • In welke gevallen is een organisatie verplicht een FG aan te stellen?
  • Aan welke kwaliteitsnormen moet een FG voldoen?
  • Welke positie moet een FG krijgen ten opzichte van de rest van de organisatie?
  • Welke taken moet een FG uitvoeren?

In welke gevallen is een organisatie verplicht een FG aan te stellen?

De rol van FG is niet nieuw in Nederland, maar onder de huidig geldende Wet bescherming persoonsgegevens (Wbp) zijn organisaties niet verplicht een FG aan te stellen. Daar komt dus vanaf 25 mei 2018 verandering in. Artikel 37 AVG verplicht organisaties een FG aan te stellen als sprake is van een (of meer) van onderstaande drie gevallen.

In de bewoordingen van de WP29 stelt artikel 37(1) AVG de aanstelling van een FG verplicht -voor zover de AVG op hen van toepassing is voor:

  1. alle overheidsinstanties of overheidsorganen (ongeacht wat voor gegevens ze verwerken)3,
  2. alle organisaties waarvan de kernactiviteiten bestaan uit verwerkingen die regelmatige en stelselmatige observatie (‘monitoring’) van betrokkenen (diegenen wiens persoons­gegevens worden verwerkt) op grote schaal vereisen, of
  3. alle organisaties waarvan de kernactiviteit bestaat uit verwerkingen op grote schaal van bijzondere categorieën van gegevens4 of 5 persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten verwerken6.

WP29 geeft in haar opinie over de FG aan hoe de open normen uiteengezet in artikel 37(1) AVG zouden moeten worden geïnterpreteerd:

“overheidsinstantie of overheidsorgaan”
De definitie van “overheidsinstantie of overheidsorgaan” moet volgens WP29 door nationaal recht worden bepaald. Dit brengt mee dat afhankelijk van het toepasselijke nationale recht- ook private organisaties die belast zijn met openbaar gezag of het uitvoeren van een publieke taak hieronder kunnen vallen, met als gevolg dat deze organisaties (per definitie) verplicht zijn een FG aan te stellen.
Onder Nederlands recht zal vermoedelijk worden aangehaakt bij het begrip ‘bestuursorgaan’ uit de Algemene wet bestuursrecht.
WP29 raadt zelfs alle organisaties die belast zijn met een publieke taak of publiek gezag aan om een FG aan te stellen. Deze FG moet dan ook toezien op de verwerking van persoonsgegevens die geen betrekking heeft op de uitvoering van deze publieke taak of officiële verplichting. Ons inziens zou deze aanbeveling met name moeten gelden voor middelgrote tot grote private organisaties, aangezien bijvoorbeeld van een autogarage die belast is met het afgeven van APK-keuringsbewijzen ons inziens redelijkerwijs niet verwacht kan worden een FG aan te stellen.

“kernactiviteiten”
Onder “kernactiviteiten” (kunnen) volgens WP29 (ook) activiteiten vallen waarbij de verwerking van persoonsgegevens onlosmakelijk is verbonden met de activiteit van de organisatie. Als voorbeeld wijst WP29 de patiëntenadministratie van een ziekenhuis aan en de (camera)surveillance van een niet-openbaar winkelcentrum.
Daarentegen vallen ondersteunende activiteiten die weliswaar noodzakelijk of essentieel zijn voor de kernactiviteiten buiten de reikwijdte van het begrip ‘kernactiviteiten’. Dit zijn activiteiten zoals salarisuitbetaling of standaard IT-ondersteuning.
In de praktijk lijkt het ons inziens niet eenvoudig om een duidelijk onderscheid te maken tussen ‘activiteiten die onlosmakelijk zijn verbonden met de activiteit van de organisatie’ en ‘activiteiten die weliswaar noodzakelijk of essentieel zijn voor de activiteiten van de organisatie maar slechts ondersteunend zijn’. Wij hopen dat dit aspect nog nader zal worden verduidelijkt door WP29.

“op grote schaal”
Om te bepalen of er sprake is van een verwerking “op grote schaal”, beveelt WP29 aan rekening te houden met: het aantal betrokkenen (zowel absoluut als relatief, namelijk ten opzichte van de relevante groep van betrokkenen), de omvang en de hoeveelheid data categorieën die worden verwerkt, de duurzaamheid van de verwerking (tijdelijk/permanent), en de geografische reikwijdte van de verwerking. Een van de zes voorbeelden die WP29 geeft van grootschalige verwerkingen betreft de verwerking van gegevens (zowel omtrent de inhoud, de door­gifte zelf als de locatie) door telefoon- en internetaanbieders. Dit laatste voorbeeld is volgens ons nogal opmerkelijk omdat onder de Wbp tot dusver werd aangenomen dat het enkel doorgeven van gegevens om communicatie mogelijk te maken überhaupt buiten de werkingssfeer van de privacywetgeving valt.7 Nu lijkt het bij uitstek te worden genomen als voorbeeld voor een verwerking, die de aanstelling van een FG verplicht stelt.
Overigens geeft de WP29 slechts twee beperkt toepasbare voorbeelden van niet-grootschalige verwerkingen.8 Ook hier lijkt het bieden van nog meer duidelijkheid op zijn plaats.

“regelmatig en systematisch observeren van gedrag van betrokkenen”
WP29 merkt op dat –ondanks overweging 24 van de AVG- met het “regelmatig en systematisch observeren van gedrag van betrokkenen” niet uitsluitend online tracking en profilering wordt bedoeld. In de concept-richtsnoeren neemt WP29 een lijstje op van (andere) voorbeelden van verwerkingen die (ook) onder deze categorie vallen.9 Voorts geeft WP29 nog nader uitleg over de elementen “regelmatig” en “systematisch”.
De aanstellingsverplichting kan zowel op een verantwoordelijke als een bewerker berusten.10 Als een verantwoordelijke verplicht is een FG aan te stellen, betekent dit overigens niet automatisch dat ook al haar bewerkers daartoe per definitie verplicht zijn (al zou dit volgens WP29 wel een goede zaak zijn). Een beoordeling van de relevante verwerkingen is dus noodzakelijk om de beoordelen wie van de bij de verwerking betrokken partijen een FG moet aanstellen.

Wat betreft de overige leden van artikel 37 AVG, maakt WP29 onder meer de volgende relevante opmerkingen:

  • Ingevolge artikel 37, tweede lid, mag een groepsonderneming voor al haar onder­nemingen een enkele FG benoemen mits deze persoon “makkelijk toegankelijk is voor elke vestiging”. Volgens WP29 brengt dit mee dat de FG moet communiceren in de taal van de betrokkene en de (lokale) toezichthouders. Ons inziens betekent dit overigens niet de FG de 28 talen van de EU moet kennen, maar zich daarbij wel door derden kan laten bijstaan.
  • In de concept-richtsnoeren vermeldt WP29 dat de geheimhoudingsplicht de FG niet in de weg staat om contact op te nemen met de toezichthouder of haar advies te vragen. Hiermee lijkt WP29 op voorhand te willen voorkomen dat een (FG van een) organisatie deze geheimhoudingsplicht aan de toezichthouder zou kunnen tegenwerpen.
  • Op grond van artikel 37(7) AVG moeten de contactgegevens van de FG worden gepubliceerd en gecommuniceerd aan de toezichthouder. Volgens WP29 kan het gaan om een postadres of een voor dit doel bedoeld telefoonnummer of e-mailadres. Het lijkt WP29 erom te gaan dat betrokkenen (zowel intern als extern) en de toezichthouders op een makkelijke, directe en vertrouwelijke wijze contact op kunnen nemen met de FG, zonder eerst een andere persoon van de organisatie te hoeven benaderen. WP29 verplicht organisaties niet om in alle gevallen de naam van de FG kenbaar te maken, maar raadt dit wel aan te doen.

Geen FG verplicht?

Als een organisatie concludeert dat geen FG hoeft te worden aangesteld, moet (ook dan) rekening worden gehouden met het volgende:

  • WP29 beveelt alle organisaties aan om te documenteren waarom een FG wel of niet is aangesteld. Hiermee kunnen organisaties aantonen dat zij deze beslissing hebben gemaakt aan de hand van de relevante criteria. Dit geldt niet indien het ‘volstrekt duidelijk’ is dat een organisatie geen FG hoeft aan te stellen. Aangezien een toe­zichthouder naar alle waarschijnlijkheid niet snel aanneemt dat daarvan sprake is, zullen de meeste organisaties er verstandig aan doen deze beslissing te documenteren.
  • Als een organisatie vrijwillig een persoon met de titel ‘FG’ aanstelt, gelden volgens WP29 onverkort de verplichtingen die de AVG stelt aan een ‘verplichte’ FG. Organisa­ties moeten ons inziens daarom welbewust kiezen of heroverwegen bij/voor hen werk­zame personen (die te maken hebben met de bescherming van persoonsgegevens) te kwalificeren als ‘FG’ of ‘DPO’ dan wel of zij een andere rol vervullen, bijvoorbeeld van ‘privacy officer’.

Aan welke kwaliteitsnormen moet een FG voldoen?

Zowel op grond van de AVG als de opinie van WP29 zijn geen concrete normen vastgesteld waaraan elke FG moet voldoen. Volgens WP29 is het vereiste kennisniveau van een FG afhankelijk van de gevoeligheid, complexiteit en hoeveelheid gegevens die de relevante organisatie verwerkt. Hierbij is het ook relevant of de organisatie persoonsgegevens systematisch doorgeeft aan landen buiten de EU, of slechts af en toe.

Een FG zou in ieder geval een goed begrip moeten hebben van:
o de Europese en nationale privacywetgeving (waaronder de AVG),
o de gegevensverwerkingen en informatiesystemen van de organisatie,
o informatiebeveiliging,
o (technische) vereisten voor gegevensbescherming.

Verder is kennis van de relevante sector en de organisatie zelf “nuttig” en moet de FG beschikken over kwaliteiten zoals integriteit en een hoge professionele ethische standaard.

Welke positie moet een FG krijgen ten opzichte van de rest van de organisatie?

In artikel 38 AVG zijn verplichtingen opgenomen om een sterke en onafhankelijke positie voor de FG te waarborgen. Zo moet de FG naar behoren en tijdig wordt betrokken bij alle relevante aangelegenheden omtrent gegevensbescherming en de noodzakelijke middelen krijgen om zijn of haar taken te voldoen en zijn of haar kennis op niveau te houden. Verder mag de FG geen instructies krijgen omtrent de uitvoering van haar taken en mag hij of zij niet worden gesanctioneerd of ontslagen omwille van de uitvoering van haar taken. De FG dient te rapporteren aan het management op het hoogste niveau van de verantwoordelijke of de bewerker. De betrokkenen moeten de FG vertrouwelijk kunnen benaderen over de verwerking van hun gegevens en om hun rechten onder de AVG kunnen uitoefenen. De FG mag weliswaar andere taken verrichten naast zijn of haar taken als FG, maar de verantwoordelijke of bewerker moet ervoor zorgen dat belangenverstrengeling bij het uitvoeren van deze taken is uitgesloten.

In de opinie van de WP29 worden deze verplichtingen meer in detail uitgewerkt. Interessant om hier op te merken is dat volgens WP29:

  • De FG niet persoonlijk verantwoordelijk is voor niet-naleving van de AVG door zijn of haar organisatie. De verantwoordelijke of bewerker blijft hiervoor verantwoordelijk en moet naleving kunnen aantonen (artikel 24(1) AVG). Als de organisatie een beslissing maakt dat indruist tegen het advies van de FG, dan moet de FG de mogelijkheid worden geboden om zijn afwijkende zienswijze over deze beslissing duidelijk te maken aan degenen die deze beslissing maken.
  • Een FG in geen geval andere taken mag uitvoeren waardoor hij in de positie komt te verkeren dat hij/zij de doeleinden en middelen van de verwerking van persoonsgegevens bepaalt. WP29 geeft in haar concept-richtsnoeren een vijftal aanwijzingen om (dergelijke) belangenverstrengeling te voorkomen. Helaas geeft WP29 geen aanwijzingen in hoeverre de rol van FG te verenigen is met de taken van een legal counsel, bedrijfsjurist of IT-manager waarvan wij onze kunnen voorstellen dat deze rollen bij de uitoefening van hun taken mogelijk in een belangenverstrengeling terecht komen, als zij ook de rol van FG vervullen.
  • Op grond van artikel 37(6) AVG kunnen de taken van een FG worden uitbesteed op contractuele basis aan een externe partij.

Maar, volgens WP29, moet ervoor worden gezorgd dat een dergelijke contract niet op oneerlijke wijze kan worden beëindigd (door zowel de externe partij als de gegevensverwerkende organisatie) en dat er geen (ook hier) belangenverstrengeling kan plaatsvinden.

  • WP29 maakt duidelijk dat in het kader van de AVG tevens als “sanctie” kwalificeert: de onmogelijkheid of vertraging promotie te kunnen maken, een belemmering in de voortgang van zijn of haar carrière als wel het ontnemen van voordelen waarvan andere werknemers profiteren. Dit geldt ook voor de dreiging dat dergelijke sancties kunnen worden opgelegd. Dit sluit niet uit dat een FG kan worden ontslagen wegens gerechtvaardigde redenen anders dan omwille van de uitvoering van zijn of haar taken als FG. Voorbeelden daarvan zijn: diefstal, psychologisch of seksuele ongewenst gedrag, of vergelijkbaar (ernstig) onbehoorlijk gedrag.

Welke taken moet een FG uitvoeren?

De wettelijke taken van de FG staan opgesomd in artikel 39(1) AVG. Deze taken betreffen:

  • Het informeren en adviseren over verplichtingen van de organisatie en haar werknemers op grond van de AVG en andere EU en nationale bepalingen over gegevensbescherming;
  • Het toezien op de naleving van de AVG en andere EU en nationale bepalingen over gegevensbescherming, en op het intern beleid hieromtrent inclusief de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van betrokken personeel en relevante audits;
  • Desgevraagd advies verstrekken over een data protection impact assessment (DPIA) en toezien op de uitvoering daarvan;
  • Samenwerken met de toezichthouder;
  • Optreden als aanspreekpunt voor de toezichthouder, ook in geval van voorafgaande raadpleging door de toezichthouder.

WP29 adviseert de verantwoordelijke om nauwkeurig de taken van de FG te documenteren (bijvoorbeeld in de overeenkomst met de FG) en werknemers, management en eventueel andere belanghebbenden hierover te informeren. Dit geldt in het bijzonder over de rol van de FG in het kader van een DPIA.

In de optiek van WP29 dient de FG ingevolge artikel 39(2) zijn werkzaamheden te prioriteren aan de hand van de risico’s die met de relevante verwerkingen gemoeid zijn. Dit betekent volgens WP29 niet dat FG’s zich niet hoeven te bekommeren om minder risicovolle verwerkingen, maar wel dat zich moeten focussen op verwerkingen die grote risico’s met zich mee brengen. Een dergelijke risk-based approach zou de FG moeten hanteren voor al zijn of haar werkzaamheden.

DPIA

WP29 maakt in dit verband duidelijk dat de organisatie verantwoordelijk is voor de privacy impact assessment, niet de FG. De verantwoordelijke is wel verplicht de FG vragen om advies wanneer zij een DPIA uitvoert (artikel 35(2) AVG). In dit kader geeft WP29 een lijst van punten waaromtrent een verantwoordelijke advies zou moeten inwinnen. Als de verantwoordelijke een advies van de FG niet opvolgt, dan dienen volgens WP29 de redenen daarvoor worden genoemd in de DPIA.

Documentatieplicht

De plicht om een overzicht bij te houden van alle verwerkingen van persoonsgegevens ingevolge artikel 30 AVG berust bij de verant­woordelijke, niet de FG. In de praktijk zal het wel de FG zijn die een dergelijk overzicht opstelt en bijhoudt. Gelet op artikel 39 AVG, is dit volgens WP29 niet verboden; het documenteren van de verwerkingen stelt de FG in staat om zijn taken goed uit te voeren. Tegelijkertijd is deze documentatie ook bedoeld voor de verantwoordelijke zelf om aan de toezichthouder te kunnen aantonen dat zij de toepasselijke wetgeving naleeft.

To-do’s voor het AVG-actieplan

Naar aanleiding van bovenstaande, hebben we een aantal to-do’s geformuleerd die ter aanvulling kunnen dienen van een AVG-actie­plan:

  • Ga na of uw organisatie een FG moet aanstellen en documenteer uw onderliggende analyse.
  • Gebruik uitsluitend de titel ‘FG’ of ‘DPO’ om een FG aan te stellen in de zin van de AVG.
  • Er gelden geen specifieke kwaliteitseisen aan FG; denk daarom na welke minimumeisen zouden moeten gelden voor uw organisatie wat betreft de kwaliteit van de FG.
  • Breng de benodigde maatregelen (qua organisatiestructuur) in kaart en zorg ervoor dat die worden uitgevoerd om voor een sterke, onafhankelijke FG in de organisatie in te bedden.

Noten

1 Op 13 december 2016 heeft WP29 een drietal opinies gepubli­ceerd, namelijk ‘Guidelines on the right to data portability’ (WP242), ‘Guidelines on Data Protection Officers (‘DPOs’)’ (WP243) en ‘Guidelines for identifying a controller or processor’s lead supervisory authority’(WP244).
2 Website Autoriteit Persoonsgegevens, ‘Privacytoezichthouders publiceren richlijnen Europese privacywet’, 16 december 2016, zie https://autoriteitpersoonsgegevens.nl/nl/nieuws/privacytoezichthouders-publiceren-richtlijnen-europese-privacywet, geraadpleegd op 27 januari 2017.
3 Behalve voor gerechten bij de uitoefening van hun rechterlijke taken, zie artikel 37(1)(a) AVG.
4 Ingevolge artikel 9 AVG.(verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemand seksueel gedrag of seksuele gerichtheid zijn verboden.
5 WP29 merkt hierover op dat in de tekst van de AVG ‘en’ staat maar dat er “geen beleidsreden bestaat dat deze criteria tege­lijkertijd van toepassing zouden moeten zijn” waardoor haars inziens de tekst moet worden gelezen als ware er staat ‘of’.
6 Ingevolge artikel 10 AVG.
7 P.C. Knol en G.J. Zwenne, Tekst & Commentaar Telecommunicatie- en privacyrecht: H.H. de Vries, “Wet bescherming persoonsgegevens”, commentaar bij artikel 1 Wbp omtrent ‘verwerking’, pagina 855.
8 Namelijk de verwerking van patiëntgegevens van een zelfstandige arts en de verwerking van gegevens over strafrechtelijke veroordelingen en delicten (‘criminal offences’) door een advocaat (zie pagina 8, WP243).
9 Onderhouden van een telecommunicatienetwerk, aanbieden van telecommunicatiediensten, email retargeting, profilering en scoring voor risicobeoordelingen (bijvoorbeeld voor credit scoring, vaststellen van verzekeringspremies, fraudepreventie, detectie van witwassen), tracking van locatie door bijvoorbeeld mobiele apps, loyaliteitsprogramma’s, behavioural advertising, bijhouden van welbevinden, fitheid en gezondheidsgegevens door wearables, closed circuit televisie, met internet verbonden apparaten zoals slimme meters, slimme auto’s, slimme thuisapparatuur, et cetera (zie ook pagina 9, WP243).
10 In dit artikel wordt de term ‘organisatie’ gehanteerd als zowel de verantwoordelijke als de bewerker wordt bedoeld.

Auteurs:  mw. mr. L. van Sloten en mw. mr. N. Wolters Ruckert, privacyadvocaten bij Kennedy van der Laan, Amsterdam
Uit: Juridisch up to Date nr. 3 van 3 februari 2017