Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming^[1] (“AVG”) in werking. In aanloop naar de inwerkingtreding van de AVG presenteerde bureau Brandeis een 12 stappenplan. Na het doorlopen van het 12 stappenplan is iedere organisatie compliant met de komende privacyregelgeving. De komende periode zullen we inzoomen op de twaalf afzonderlijke stappen. In deze eerste bijdrage zullen we aandacht besteden aan de eerste stap: de functionaris gegevensbescherming.

Wat is de functionaris voor gegevensbescherming?

Met de inwerkingtreding van de AVG wordt het begrip “functionaris voor gegevensbescherming” (“FG”, “data protection officer”, “DPO”) geïntroduceerd. In artikel 38 AVG wordt bepaald dat de verwerkingsverantwoordelijke en de verwerker ervoor dienen te zorgen dat de functionaris voor gegevensbescherming naar behoren en tijdig wordt betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens. In de richtlijn van de Artikel 29-werkgroep (artikel 2, het onafhankelijke advies -en overlegorgaan van Europese privacy toezichthouders, wordt de FG als volgt omschreven;

“..the DPO is a cornerstone of accountability and that appointing a DPO can facilitate compliance and furthermore, become a competitive advantage for businesses. In addition to facilitating compliance through the implementation of accountability tools (such as facilitating or carrying out data protection impact assessments and audits), DPOs act as intermediaries between relevant stakeholders (e.g. supervisory authorities, data subjects, and business units within an organisation).”^[2]

Met andere woorden: de FG is het sleutelfiguur in de organisatie als het op privacy compliance neerkomt. 

Is de aanstelling van een FG verplicht?

In beginsel is de aanstelling van een FG niet verplicht, behalve in de gevallen die in artikel 37 lid 1 AVG worden beschreven. Het betreft dan situaties waarin:

1. de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken;
2. een verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen; of
3. de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met grootschalige verwerking van bijzondere categorieën van gegevens uit hoofde van artikel 9 AVG en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10 AVG.

Overheidsinstantie of overheidsorgaan

Het begrip overheidsinstantie of overheidsorgaan wordt niet gedefinieerd in de AVG. In de richtlijn van de WP 29 over de functionaris gegevensbescherming^[3] wordt aangesloten bij de definities van ‘openbaar lichaam’^[4] en publiekrechtelijke instelling’^[5] zoals die worden gehanteerd in artikel 2 van de Richtlijn hergebruik van overheidsinformatie.^[6] Daarmee lijkt artikel 37 sub a AVG parallel te lopen met de definitie bestuursorgaan zoals we die kennen uit de Algemene Wet bestuursrecht (“Awb”). In beginsel zullen alle overheidsorganen en overheidsinstanties een FG moeten aanstellen. Dit geldt ook voor de zogenaamde b-organen, dat zijn private rechtspersonen die belast zijn met één of enkele publiek taken. Denk bijvoorbeeld aan de Autoriteit Consument en Markt, de Nederlandsche bank en de Kamer van Koophandel.

‘Hoofdzakelijk belast’

In artikel 37 lid 1 sub b en sub c AVG wordt ten aanzien van de verwerkingsverantwoordelijke of de verwerker bepaald dat deze hoofdzakelijk is belast met een gegevensverwerking. De wetgever doelt met de term ‘hoofdzakelijk belast met een gegevensverwerking” op de kerntaken van de verwerkingsverantwoordelijke en/of de verwerker. Met kerntaken wordt bedoeld de belangrijkste handelingen die nodig zijn om het doel van de verantwoordelijk of de verwerker te bereiken. Ter illustratie een voorbeeld. Een ziekenhuis heeft als kerntaak het bieden van zorg, echter daarbij is het onvermijdelijk dat er medische persoonsgegevens worden verwerkt. Het ziekenhuis heeft dan als kerntaak het verwerken van medische persoonsgegevens en zal een FG moeten aanstellen op grond van artikel 37 sub b AVG.

‘Grote schaal’

Voor de toepassing van artikel 37 lid 1 sub b en/of c AVG geldt verder dat de gegevensverwerking ‘op grote schaal’ moet plaatsvinden. Een definitie van grote schaal wordt niet gegeven door de wetgever. Uit de richtlijnen van de WP 29 kunnen we echter wel een aantal factoren afleiden op basis waarvan bepaald kan worden of de gegevensverwerking op grote schaal plaatsvindt:

• het aantal betrokkenen – in specifieke cijfers of als percentage van de betreffende bevolking;
• de hoeveelheid gegevens en/of de hoeveelheid verschillende gegevens die wordt verwerkt;
• de duur of permanentie van de gegevensverwerking;
• de geografische reikwijdte van de verwerking;

WP 29 geeft ook een aantal voorbeelden van organisatie die persoonsgegevens verwerken op grote schaal: banken, verzekeraars, ziekenhuizen, openbare vervoerders, telefoon- en internetproviders en zoekmachine exploitanten. Individuele advocaten en artsen worden expliciet uitgezonderd van deze categorie.

‘Regelmatige en stelselmatige observatie’

De wetgever heeft het begrip regelmatige en stelselmatige observatie niet gedefinieerd, maar geeft in overweging 24 van de AVG wel een omschrijving wat hieronder moet worden verstaan. Het begrip ziet op ‘het monitoren van het gedrag van de betrokkenen’. Volgens de Artikel 29 Werkgroep dient hieronder te worden begrepen het volgen en profileren op het internet, waaronder het tonen van advertenties op basis van internetgebruik. Echter, deze bepaling ziet niet uitsluitend op internetgebruik, maar wordt meer bedoeld als voorbeeld van het monitoren van het gedrag van betrokkenen. ‘Regelmatig’ wordt omschreven als voortdurend of gedurende een bepaalde periode met bepaalde tussenpozen, terugkerend of op vaste tijden herhaald, constant of periodiek. ‘Stelselmatig’ wordt omschreven als op basis van een systeem, vooraf geregeld, georganiseerd of systematisch, als onderdeel van een algemeen plan voor het verzamelen van gegevens en als onderdeel van een strategie. WP 29 geeft een aantal voorbeelden wanneer sprake is van regelmatige en stelselmatige observatie: exploiteren van een telecommunicatienetwerk, het bieden van telecommunicatiediensten, e-mail retargeting, profilering, en beoordeling risicoanalyse, lokalisering met bijvoorbeeld mobiele apps, klantenkaarten, advertenties op basis van internetgedrag, het controleren van het welzijn, de conditie, en de gezondheid door wearables en vergelijkbare medische apps, beveiligingscamera’s, verboden apparatuur zoals slimme meters, smart cars, smart homes.

Speciale categorieën gegevens en/of gegevens over veroordelingen en strafbare feiten

Indien de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met grootschalige verwerking van bijzondere categorieën van gegevens uit hoofde van artikel 9 AVG dan is de aanstelling van een eveneens FG verplicht. De bijzondere persoonsgegevens uit artikel 9 AVG zijn:

• ras of ethische afkomst;
• politieke opvattingen;
• religieuze of levensbeschouwelijke overtuigen;
• het lidmaatschap van een vakbond;
• genetische gegevens;
• biometrische gegevens met het oog op de unieke identificatie van een persoon;
• gegevens over gezondheid;
• gegevens met betrekking tot iemands seksueel gedrag;

Dit geldt ook voor persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10 AVG. 

Rol van FG

In artikel 37 lid 2 AVG wordt de optie geboden aan een concern van ondernemingen om een gezamenlijke FG aan te wijzen op voorwaarde dat de FG makkelijk te contacteren is. Dit geldt zowel voor contact binnen de organisatie als extern contact met bijvoorbeeld de toezichthouder en betrokkenen. Voor overheidsinstantie wordt de optie geboden om één FG aan te stellen voor veschillende instanties of organen met inachtneming van hun organisatiestructuur en omvang.

In artikel 38 AVG wordt de rol van de FG in de organisatie gewaarborgd. De FG moet zo vroeg mogelijk worden betrokken bij alle aangelegenheden die bescherming van persoonsgegevens betreffen. De FG moet de benodigde middelen tot zijn beschikking hebben om zijn taken te kunnen vervullen. Denk hierbij aan ondersteuning vanuit het management, voldoende tijd en gelegenheid om de taken te vervullen, voldoende financiële middelen, ICT-ondersteuning, training en mogelijk zelfs een FG-team. Verder moet ervoor worden gezorgd dat de FG onafhankelijk kan opereren en geen instructies omtrent zijn handelen mag ontvangen. Tot slot moet ook worden gewaarborgd dat de FG niet in een belangenconflict komt omdat hij ook andere taken binnen de organisatie vervult.

Deskundigheid van FG

Artikel 37 lid 5 AVG bepaalt dat de functionaris voor gegevensbescherming wordt aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen om zijn taken in de zin van artikel 39 AVG (zie hieronder) te vervullen. Naarmate de persoonsgegevens gevoeliger van aard zijn of de gegevensverwerking complexer van aard is, zal het kennisniveau van de FG ook hoger moeten zijn. Diepgaande kennis van Europese en Nederlandse privacyregelgeving is een must. 

Taken van de FG

In artikel 39 AVG worden de taken van een FG toegelicht en daarin wordt bepaald dat de FG ten minste de volgende taken dient uit te voeren:

• informatie verzamelen om verwerkingswerkzaamheden te identificeren;
• analyseren en controleren in hoeverre verwerkingswerkzaamheden aan de AVG voldoen; en
• de verantwoordelijke of de verwerker informeren, adviseren of aanbevelingen geven.

Daarnaast heeft een FG een adviesrol ten aanzien van het uitvoeren van een eventuele‘gegevensbeschermingseffectbeoordeling’ of Privacy Impact Assessment (“PIA”). Ook speelt de FG een rol ten aanzien van de registerplicht (artikel 30 AVG) van een verwerkingsverantwoordelijke of verwerker.

Conclusie

In het kader van AVG-compliance is het van belang voor organisaties om tijdig te beoordelen of aanstelling van een FG nodig is. Ook als de aanstelling van een FG niet verplicht is, kan de aanstelling van een FG voordelen bieden. De FG kan sturing geven aan het compliance traject en is vanuit die hoedanigheid het eerste aanspreekpunt in de organisatie voor zowel interne als externe communicatie. Indien wordt besloten om geen FG aan te stellen, dan is het in het kader van de documentatieplicht wel te adviseren om de beweegreden goed te documenteren. Het is ook mogelijk om geen FG aan te stellen maar een andere functie in het leven te roepen binnen uw organisatie die verantwoordelijkheid draagt voor privacy compliance. Het privacy-team van bureau Brandeis kan u uiteraard adviseren over de vraag of het aanstellen van een FG binnen uw organisatie noodzakelijk en/of wenselijk is en zo ja, op welke wijze u de positie van FG binnen uw organisatie vorm kunt geven. Ook in het geval u al een FG heeft aangesteld, kunnen wij gezamenlijk met de FG het privacy compliance traject uitstippelen en hier stap voor stap uitvoering aan geven. Verder bieden wij trainingen aan voor FG’s en kunnen wij ondersteuning bieden bij de uitvoering van taken

^[1] Pbl. EU, Verordening (EU) 2016/679, L 119/1.

^[2] Werkgroep 29, ‘Guidelines on Data Protection Officers (‘DPO’s)’, WP 243, 13 december 2016, p. 4.

^[3] Werkgroep 29, ‘Guidelines on Data Protection Officers (‘DPO’s)’, WP 243, 13 december 2016, p. 4.

^[4] Onder openbaar lichaam wordt verstaan de Staat, zijn territoriale lichamen, publiekrechtelijke instellingen, en verenigingen gevormd door een of meer van deze lichamen of een of meer van deze publiekrechtelijke instellingen.

^[5] Onder publiekrechtelijke instellingen moet worden begrepen de instelling die ingesteld om te voorzien in het algemeen belang, rechtspersoonlijkheid heeft en waarvan de activiteiten in hoofdzaak door overheidswege wordt gefinancierd, hetzij het beheer is onderworpen aan toezicht door de overheid.

^[6] Pbl. EU, Richtlijn 2003/98, L 345/90.