Het is niet vereist dat elke instantie een individuele VC aanstelt. Er kan één VC worden aangewezen voor verschillende overheidsinstanties.

Transcriptie

1 VEILIGHEIDSCONSULENT (VC) VERPLICHTE AANSTELLING Verplicht voor iedere instantie als vermeld in artikel 4, 1, van het decreet van 26 maart 2004 betreffende de openbaarheid van bestuur die een authentieke gegevensbron beheert die persoonsgegevens bevat en voor iedere instantie die elektronische persoonsgegevens ontvangt of uitwisselt. Het is niet vereist dat elke instantie een individuele VC aanstelt. Er kan één VC worden aangewezen voor verschillende overheidsinstanties. De instantie wijst, al dan niet onder haar medewerkers, een VC aan. FUNCTIONARIS VOOR GEGEVENSBESCHERMING (DPO) Verplicht voor ieder overheidsinstantie of overheidsorgaan die persoonsgegevens verwerkt en derhalve onder het toepassingsgebied van de AVG ressorteert (m.u.v. gerechten). De AVG zelf definieert de begrippen overheidsinstantie en overheidsorgaan verder niet, en de WP 29 stelt daarom dat dit begrip overeenkomstig de nationale wetgeving moet worden bepaald. Gezien het ruime toepassingsgebied van verwerken van persoonsgegevens in de AVG, geldt deze verplichting evenwel in feite voor elke instantie als vermeld in artikel 4, 1, van het decreet van 26 maart 2004 betreffende de openbaarheid van bestuur. Het is niet vereist dat elke instantie een individuele DPO aanstelt. Artikel 37, lid 3, AVG bepaalt immers dat één DPO kan worden aangewezen voor verschillende overheidsinstanties. Evenwel mag er geen sprake zijn van een mogelijk belangenconflict en de DPO moet door iedere instantie gemakkelijk te contacteren zijn. De functie van DPO kan intern worden ingevuld maar kan ook worden uitbesteed door middel van een dienstverleningsovereenkomst. Terwijl momenteel Vlaamse instanties die zelf geen persoonsgegevens in een authentieke gegevensbron beheren en noch elektronische persoonsgegevens ontvangen of uitwisselen, niet verplicht zijn om een VC aan te wijzen, zullen ook die instanties vanaf 25 mei 2018 een DPO moeten aanstellen omdat ze hoe dan ook persoonsgegevens verwerken. PROFIEL Artikel 9 van het VC-besluit bepaalt dat de VC een gedegen kennis van de informaticaomgeving van de instantie moet hebben. Artikel 37, lid 5, AVG bepaalt dat de DPO wordt aangesteld op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen zijn taken te vervullen. 4

2 Het profiel van de VC is dus eerder technisch van aard. Dit is te verklaren omdat de taak van de VC in principe beperkt is tot informatieveiligheid. In de praktijk dient ook de VC evenwel reeds een gedegen kennis te hebben van de persoonsgegevensbeschermingswetgeving. In overweging 97 van de AVG is bepaald dat het vereiste niveau van deskundigheid moet worden bepaald op grond van de uitgevoerde gegevensverwerkingsactiviteiten en de bescherming die voor de verwerkte persoonsgegevens is vereist. Het niveau van deskundigheid moet derhalve in verhouding zijn tot de gevoeligheid van de gegevens en de hoeveelheid gegevens verwerkt worden door de verwerkende instantie. Inhoudelijk legt de AVG een zekere nadruk op het feit dat een DPO juridische kennis dient te hebben. Dit is logisch, nu de voornaamste taak van de DPO er uit bestaat om ervoor te zorgen dat de AVG nageleefd wordt. Deze juridische kennis van de DPO zal zich dan ook voornamelijk situeren op het vlak van de AVG en andere gegevensbeschermingswetgeving. Desalniettemin is de WP 29 van oordeel dat de DPO indien deze werd aangesteld door een overheidsinstantie - ook een gedegen kennis moet hebben van de administratieve regels en procedures van de instantie. De DPO kan evenwel niet louter een juridisch profiel hebben. De DPO zal immers, om zijn taken uit te kunnen oefenen, ook een goed inzicht moeten hebben in de uitgevoerde verwerkingsactiviteiten, de informatiesystemen en de behoeften van de verwerkingsverantwoordelijke op vlak van gegevensbescherming en gegevensbeveiliging. Idealiter is de DPO dus een jurist met een zeer goede kennis van ICT en informatieveiligheid of een IT er met een zeer goede kennis van de gegevensbeschermingswetgeving. Hoewel er slechts één persoon kan aangeduid worden als DPO, is het natuurlijk niet uitgesloten dat de DPO zich laat omringen en adviseren door andere profielen (bijvoorbeeld een DPO-specialist informatieveiligheid die nauw samenwerkt met een jurist). Idealiter wordt een Data Protection Office (ipv officer) opgericht waarbij er wordt samengewerkt door een jurist, 5

3 een IT-er en iemand die de business (processen) kent. Eén van die personen moet formeel de DPO zijn. Artikel 37, lid 7, AVG bepaalt dat de contactgegevens van de DPO openbaar moeten gemaakt worden en in het bijzonder ook moeten gecommuniceerd worden aan de bevoegde toezichthoudende autoriteit. Op die manier kunnen zowel de betrokkenen (de natuurlijke personen) als de toezichthoudende autoriteit rechtstreeks contact opnemen met de DPO. Dit kan via een onpersoonlijk adres, zowel post- als mailadres, zoals of iets dergelijks. De DPO wordt aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen de in de AVG omschreven taken te vervullen. Geen enkel diploma of bijzondere certificering wordt vereist. In het algemeen dient het niveau van gespecialiseerde kennis te worden bepaald in functie van de bij de instantie uitgevoerde gegevensverwerkingen en de bescherming die vereist wordt voor de verwerkte gegevens. Zij zal dus worden aangepast aan de gevoeligheid, de complexiteit en het volume verwerkte gegevens, of de verwerkingen regelmatige of occasionele doorgiften impliceren buiten de grenzen van de EU, enz. Naast een deskundigheid in gegevensbescherming is kennis van de activiteitensector en van de organisatie van de instantie essentieel. Tenslotte dient de bekwaamheid om zijn taken te vervullen bekeken te worden in het licht van zowel de persoonlijke kwaliteiten en kennis van de DPO als ook van zijn positie in de schoot van de instantie. Ethiek en integriteit zijn verbonden met de sleutelrol die hij moet vervullen bij de bevordering van een cultuur van gegevensbescherming in de schoot van de instantie. AANSTELLINGSPROCEDURE Verplicht om overeenkomstig artikel 2, 2, VC-besluit voorafgaandelijk aan de aanstelling van de VC gunstig advies te bekomen van de VTC, tenzij er reeds gunstig advies is van de CBPL. Geen voorafgaande toestemming van de toezichthoudende autoriteit vereist want de verantwoordelijkheid om na te gaan of de DPO geschikt is om zijn functie uit te oefenen, ligt volledig bij de instantie (de verwerkingsverantwoordelijke). Een belangrijk verschil tussen de aanstelling van een VC en de aanstelling van de DPO is dat voor deze laatste geen voorafgaandelijke toestemming vereist is: de verplichting overeenkomstig artikel 2, 2, VC-besluit om voorafgaandelijk aan de aanstelling van de VC gunstig advies te bekomen van de VTC of de CBPL (sectorale comités) geldt niet voor de DPO. Dit betekent dat de verantwoordelijkheid om na te gaan of de DPO geschikt is om zijn functie uit te oefenen, volledig bij de instanties wordt gelegd. De verwerkingsverantwoordelijke moet altijd kunnen aantonen dat degene die is aangesteld als DPO effectief die functie overeenkomstig de AVG kan opnemen. TAKEN Artikel 3 VC-besluit bepaalt dat de veiligheidsconsulent belast is om op eigen initiatief of op verzoek van de verantwoordelijke voor het dagelijks bestuur van de instantie deskundige adviezen en aanbevelingen te verstrekken aan de verantwoordelijke voor het dagelijks bestuur over alle aspecten op het vlak van de Overeenkomstig artikel 39, lid 1, AVG heeft de DPO volgende taken: informeren en adviseren over de verplichtingen uit hoofde van de AVG en andere regelgeving op het vlak van gegevensbescherming, toezicht op de naleving van de AVG, bijstand bij de uitvoering van de 6

4 informatieveiligheid. Daarnaast bepaalt artikel 10 VCbesluit dat de VC bij wijze van advies een veiligheidsplan dient op te stellen. De VC heeft dus duidelijk een adviserende functie: het is steeds de leidend ambtenaar die de eindbeslissing neemt en die kan daarbij het advies van de VC naast zich neerleggen. De VC moet advies verstrekken over alle aspecten op het vlak van informatieveiligheid, dus niet louter beperkt tot persoonsgegevens, maar anderzijds ook beperkt tot informatieveiligheid. Artikel 6 van het VC-besluit bepaalt: De veiligheidsconsulent bevordert en ziet toe op de naleving van de veiligheidsvoorschriften, opgelegd door of krachtens een wets-, decretale of reglementsbepaling, en controleert of de personen die in de instantie of de entiteit persoonsgegevens verwerken, een veiligheidsgedrag vertonen. De VC ziet dus toe op de naleving van de veiligheidswetgeving. Ook hier is deze toezichtsfunctie formeel evenwel slechts beperkt tot informatieveiligheid (de naleving van de veiligheidsvoorschriften) en dus niet zozeer van toepassing op persoonsgegevensbeschermingswetgeving in het algemeen. gegevensbeschermingseffectbeoordeling (DPIA), en het dienen als contactpunt bij de toezichthoudende autoriteit. De DPO houdt bij de uitvoering van zijn taken naar behoren rekening met het aan verwerkingen verbonden risico, en met de aard, de omvang, de context en de verwerkingsdoeleinden. De opsomming van de taken is niet limitatief, dus de DPO kan ook andere taken toebedeeld krijgen die formeel niet onder zijn verantwoordelijkheid vallen, maar die gerelateerd zijn aan de AVG, zoals het bijhouden van een verwerkingsregister. De in de AVG omschreven opdracht van de DPO wordt hieronder kort nader toegelicht. Informeren (ook documenteren en sensibiliseren) Dit is heel belangrijk en omvat met name ook de sensibilisering van alle medewerkers van de instantie. Dit kan ook aanbevelingen omvatten ten aanzien van de verwerkingsverantwoordelijke. Toezicht 1. Artikel 39, lid 1, a), AVG stelt dat het de taak is van de DPO om de verwerkingsverantwoordelijke of de verwerker en de werknemers die verwerken, te informeren en adviseren over hun verplichtingen uit hoofde van de AVG en andere Unierechtelijke of lidstaatrechtelijke gegevensbeschermingsbepalingen. Artikel 39, lid 2, b) vervolgt dat de DPO moet toezien op naleving van de AVG, van andere Unierechtelijke of lidstaatrechtelijke gegevensbeschermingsbepalingen en van het beleid van de verwerkingsverantwoordelijke of de verwerker met betrekking tot de bescherming van persoonsgegevens, met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het bij de verwerking betrokken personeel en de betreffende audits. 7

5 Bovenstaande artikelen omschrijven eigenlijk de kerntaak van de DPO, met name er voor zorgen en er op toezien dat de instantie persoonsgegevens conform de wettelijke verplichtingen verwerkt. Deze controlefunctie van de DPO betekent evenwel niet dat de DPO ook persoonlijk verantwoordelijk of aansprakelijk zou kunnen worden gesteld indien verwerkingen niet conform de wettelijke verplichtingen gebeuren. Het is immers de instantie (de verwerkingsverantwoordelijke) die verantwoordelijk is voor de naleving van de gegevensbeschermingswetgeving en het aantonen hiervan. Dit betekent ook dat de DPO zelf geen beslissingsbevoegdheid mag hebben: hij kan adviseren en hij kan contact opnemen met de toezichthoudende autoriteit maar een eindbeslissing met betrekking tot het verwerkingsbeleid moet toch steeds door de leidend ambtenaar worden getroffen. Adviseren over DPIA data protection impact assessment = NIEUW door de AVG = onderdeel van de algemene adviesbevoegdheid van de DPO over alle verplichtingen ingevolge de AVG en de lidstatelijke gegevensbeschermingsbepalingen Overeenkomstig artikel 35, lid 1, AVG dient de verwerkingsverantwoordelijke een DPIA voor de verwerking uit te voeren wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Dit betreft een nieuwe verplichting onder de AVG. Overeenkomstig artikel 35, lid 2, AVG dient de verwerkingsverantwoordelijke hiervoor advies in te winnen bij de DPO, die overeenkomstig artikel 39, lid 1,c) verplicht is hierover advies te verschaffen. Uit bovenstaande volgt dat de DPO slechts advies moet verlenen en bijgevolg in principe dus niet belast is met het uitvoeren van de DPIA. De verwerkingsverantwoordelijke kan het advies van de DPO steeds naast zich neerleggen, doch dient dit wel formeel te motiveren. 8

6 De AVG bepaalt niet uitdrukkelijk de omvang van de adviesopdracht van de DPO. De WP 29 stelt dat het advies van de DPO m.b.t. de DPIA betrekking kan hebben op o.a. volgende aangelegenheden: - of er al dan niet een DPIA moet worden uitgevoerd; - de methodologie die moet worden gevolgd; - of de DPIA beter intern kan worden uitgevoerd, dan wel moet worden uitbesteed aan een externe partij; - welke waarborgen moeten worden getroffen om de rechten van de betrokkenen te vrijwaren; - of de DPIA correct werd uitgevoerd en de conclusies van de DPIA in overeenstemming zijn met de AVG. Contactpunt bij de toezichthoudende autoriteit =nieuw Overeenkomstig artikel 39, lid 1, d) en e) moet de DPO met de toezichthoudende autoriteit samenwerken en moet hij optreden als contactpunt voor de toezichthoudende autoriteit inzake met verwerking verband houdende aangelegenheden en waar passend overleg plegen over enige andere aangelegenheid. De DPO wordt dus de persoon die als tussenpersoon zal fungeren tussen de instantie en de toezichthoudende autoriteit en wordt de zogenaamde single point of contact (SPOC). In de eerste plaats geldt dit vooral voor de communicatie vanuit de toezichthoudende autoriteit, zoals het doorsturen van documentatie en voor alle vragen, ook naar aanleiding van klachten en in het kader van de onderzoeksbevoegdheden van de toezichthoudende autoriteit. Daarnaast kan de DPO adviesvragen en opmerkingen m.b.t. de verwerking van persoonsgegevens aan de toezichthoudende autoriteit stellen. Net zoals de VC heeft de DPO dus duidelijk een adviserende functie: het is steeds de leidend ambtenaar die de eindbeslissing neemt en die kan daarbij het advies van de VC naast zich neerleggen, bij voorkeur via schriftelijke motivering (verantwoordingsplicht). De VC moet advies verstrekken over alle aspecten op het vlak van informatieveiligheid. Ten aanzien van de adviesfunctie van de DPO is de adviesfunctie van de VC dus enerzijds ruimer, want niet louter beperkt tot persoonsgegevensbeschermingswetgeving, maar anderzijds ook beperkt tot informatieveiligheid. 9

7 POSITIE Artikel 2, 2, VC-besluit bepaalt dat de VC over voldoende tijd moet beschikken om zijn taken te kunnen uitoefenen, maar er wordt nergens bepaald dat aan de VC hier ook voldoende middelen voor moeten worden ter beschikking gesteld. Overeenkomstig artikel 9 van het VC-besluit bezit de VC over een gedegen kennis van de informaticaomgeving van de instantie en van de informatieveiligheid en houdt die kennis permanent op peil. De instantie is niet verplicht middelen te voorzien om zijn kennis in stand te houden. De waarborgen om de onafhankelijk van de DPO en de veiligheidsconsulent te bestendigen, zijn gelijkaardig aan de DPO: - artikel 4 VC-besluit bepaalt dat de VC de nodige objectiviteit, onpartijdigheid en onafhankelijkheid in acht moet nemen bij het geven van adviezen; - artikel 8 VC-besluit bepaalt dat de VC werkt onder het rechtstreekse functionele gezag van de verantwoordelijke voor het dagelijks bestuur van de instantie of de entiteit in kwestie; - artikel 7 VC-besluit bepaalt dat de VC en zijn adjuncten niet uit hun functie worden ontheven wegens meningen die zij uiten of daden die zij stellen in het kader van de goede uitoefening van hun functie; - artikel 2, 2 VC-besluit bepaalt dat de VC geen activiteiten mag uitoefenen die onverenigbaar zijn met zijn functie en beoogt dus belangenvermenging te voorkomen. De VTC vraagt standaard een minimale tijdsbesteding van 4 uur per week per organisatie. Voor grotere organisaties (bv. een grote stad) of organisaties waar de informatieveiligheidsproblematiek dat vraagt, kan dat gaan tot een voltijdse tewerkstelling. Artikel 38, lid 1, AVG bepaalt dat de DPO naar behoren en tijdig wordt betrokken bij al de aangelegenheden die verband houden met de bescherming van persoonsgegevens. Mede in het kader van het principe van privacy by design dat door de AVG wordt opgelegd is het logisch dat de DPO zo vroeg als mogelijk betrokken wordt bij aangelegenheden die verband houden met de verwerking van persoonsgegevens. Op die manier kunnen mogelijke problemen vroegtijdig geïdentificeerd en opgelost worden. WP 29 stelt dat deze verplichting ten minste inhoudt dat: - de DPO regelmatig wordt uitgenodigd om vergaderingen van het hogere management en middenkader bij te wonen; - de DPO aanwezig is wanneer beslissingen worden genomen die gevolgen hebben voor de gegevensbescherming. Alle relevante informatie moet tijdig worden bezorgd aan de DPO zodat deze een passend advies kan verlenen; - de mening van de DPO naar behoren in overweging wordt genomen. Bij onenigheid raadt de WP 29 aan om de redenen dat het advies niet gevolgd wordt, afdoende schriftelijk te documenteren; en - de DPO meteen gecontacteerd wordt bij een inbreuk of een incident. Artikel 38, lid 2, AVG stelt dat de entiteit de DPO voldoende moet ondersteunen in de uitoefening van zijn taken door hem toegang te verschaffen tot persoonsgegevens en verwerkingsactiviteiten en door hem de benodigde middelen ter beschikking te stellen voor het vervullen van deze taken en het in stand houden van zijn deskundigheid. Dit betekent onder meer dat er voldoende logistieke ondersteuning moet zijn: de DPO moet zijn taak naar behoren kunnen uitvoeren en hiervoor moeten voldoende financiële middelen worden ter beschikking gesteld, moet de DPO gebruik kunnen maken van een goede 10

8 De 4 uur per week wordt dus ook als minimum gevraagd aan de lokale besturen. Als gemeente en OCMW dezelfde infrastructuur gebruiken en samen een informatieveiligheidsconsulent aanstellen, wordt 6 uur per week aanvaard. Een afwijking van het principe van 4 uur per week (tot 3 uur) kan slechts bij uitzonderlijke, bij voorkeur tijdelijke, omstandigheden en een zeer goede motivatie die verwijst naar reeds gedane inspanningen op het vlak van informatieveiligheid. infrastructuur en moet hem indien nodig - personeel ter beschikking worden gesteld. Anderzijds moet er ook goed op worden toegezien dat de DPO voldoende tijd krijgt om zijn taken behoorlijk uit te kunnen voeren. Wanneer een DPO slechts deeltijds belast is met de functie van DPO beveelt WP29 aan om op voorhand vast te leggen welk percentage van de tijd van de werknemer benut wordt zal worden voor zijn taken als DPO. Daarnaast zou desgevallend ook idealiter een werkprogramma kunnen worden opgesteld waarin de prioriteiten en de benodigde tijd worden opgenomen. Er dient immers absoluut vermeden te worden dat de DPO zijn taken wegens tijdsgebrek niet, of niet behoorlijk kan uitvoeren. Daarnaast is het natuurlijk ook vanzelfsprekend dat de DPO toegang heeft tot alle informatie met betrekking tot de verwerkingsactiviteiten en dat niets voor hem verborgen wordt. Ten slotte dient ook de nodige aandacht te worden besteed aan de voortgezette opleiding van de DPO. Ook hiervoor moet voldoende tijd en middelen aan de DPO ter beschikking worden gesteld. Artikel 38, lid 3, AVG bepaalt: De verwerkingsverantwoordelijke en de verwerker zorgen ervoor dat de functionaris voor gegevensbescherming geen instructies ontvangt met betrekking tot de uitvoering van die taken. Hij wordt door de verwerkingsverantwoordelijke of de verwerker niet ontslagen of gestraft voor de uitvoering van zijn taken. De functionaris voor gegevensbescherming brengt rechtstreeks verslag uit aan de hoogste leidinggevende van de verwerkingsverantwoordelijke of de verwerker. Er worden dus een aantal wettelijke waarborgen voorzien zodat de autonomie van de DPO bestendigd wordt en de adviezen dus onafhankelijk kunnen worden gegeven. 11

9 Zo mag de DPO geen instructies ontvangen met betrekking tot de uitvoering van zijn taken die wettelijk bepaald zijn. Met betrekking tot de uitvoering van andere taken mag de DPO uiteraard wel instructies ontvangen, voor zover dit zijn integriteit of autonomie niet in het gedrang brengt of dit zijn wettelijke taken niet belemmert. Artikel 38, lid 6 AVG bepaalt immers uitdrukkelijk dat de DPO andere taken of plichten mag vervullen, voor zover deze taken of plichten niet tot een belangenconflict leiden. Of de uitvoering van een bepaalde taak of opdracht tot een belangconflict zou kunnen leiden dient steeds in concreto te worden beoordeeld. Er is met name sprake van een belangenconflict wanneer de DPO zelf mede de doelstellingen van en de middelen voor de verwerking van persoonsgegevens bepaalt. Daarnaast mag de DPO ook niet ontslagen of gestraft worden voor de uitvoering van zijn taken. Op die manier wordt vermeden dat de DPO een bepaald advies zou aanpassen om ter wille te zijn van zijn broodheer of om te vermijden dat ze zou gesanctioneerd worden. Het verbod om een DPO te ontslaan of te sanctioneren heeft dan ook enkel betrekking op sancties die zouden worden opgelegd als gevolg van de uitvoering van de wettelijke taken van de opdracht. De DPO kan dus nog wel ontslagen worden omwille van redenen, zoals een schending van het arbeidsreglement of wangedrag op de werkvloer. Het begrip straffen wordt door de AVG niet verder uitgelegd en de WP 29 interpreteert het begrip redelijk ruim: Sancties kunnen diverse vormen aannemen en kunnen zowel direct als indirect zijn. Zo kunnen ze bijvoorbeeld bestaan uit het weigeren of het uitstellen van een promotie; het verhinderen van verdere uitbouw van een carrière; het weigeren van voordelen die andere werknemers krijgen. Het is niet noodzakelijk dat deze sancties ook effectief worden uitgevoerd, alleen al de dreiging volstaat, zolang het de bedoeling is daarmee de functionaris voor 12

10 gegevensbescherming te straffen om redenen die te maken hebben met zijn/haar activiteiten als functionaris voor gegevensbescherming. Als laatste waarborg bepaalt de AVG dat de DPO rechtstreeks verslag uitbrengt bij de leidinggevend ambtenaar. Op die manier is de DPO ervan verzekerd dat zijn eventueel afwijkende mening duidelijk wordt gehoord op het hoogste niveau. De waarborgen om de onafhankelijkheid van de VC en de DPO te bestendigen, zijn gelijkaardig. De positie van de DPO is vergelijkbaar met die van de VC, doch iets meer uitgebreid geregeld in de AVG. Zo moet de DPO ook over voldoende middelen beschikken en moet de instantie de DPO ondersteunen bij de instandhouding van zijn deskundigheid. Het is niet mogelijk om een exhaustieve lijst te geven van de functies die onverenigbaar zijn met VC/DPO. Dat moet telkens op ad hoc basis, geval per geval, worden geëvalueerd. Uitgangspunt is dat een persoon niet tegelijkertijd controleur en gecontroleerde mag zijn. Met de functie van VC/DPO is dan ook niet verenigbaar: hoofd van de informaticadienst, coördinator informatisering, hoofd van de personeelsdienst. Evenmin kan de VC/DPO onder het hiërarchisch gezag staan van de voornoemde hoofden aangezien de VC/DPO dan niet volledig onafhankelijk kan optreden. De rol van DPO is evenmin verenigbaar met de informatieverantwoordelijke of -beheerder / verantwoordelijke inzake archief die de beheersregels vastlegt, opvolgt en uitvoert. De facto gaat het om toegangen die worden verleend en om de bewaartermijnen en de bestemming die nadien aan de documenten wordt gegeven. Het nemen van die beslissingen is niet verenigbaar met de functie van DPO. Het kan in sommige gevallen aangewezen zijn dat de verantwoordelijke archiefbeheer de DPO om advies vraagt bij het nemen van beslissingen. De DPO zal ook toezicht houden op die beslissingen, of ze conform de AVG zijn genomen. Wat de verenigbaarheid betreft van de functie van gegevensbeheerder, de gegevensbeheerder die o.a. bepaalt wie toegang heeft tot de gegevens, dit is evenmin verenigbaar met de functie van DPO. VERTROUWELIJKHEID Artikel 5 VC-besluit bepaalt dat de VC alle informatie die aan hem wordt toevertrouwd of die hij kan inzien, horen of lezen in het kader van zijn opdrachten of beroepsactiviteiten, strikt vertrouwelijk houdt, zowel de informatie die op zijn opdracht betrekking heeft als de informatie over zijn vakgenoten. De veiligheidsconsulent mag van die algemene regel van vertrouwelijkheid van informatie alleen in de volgende twee gevallen afwijken : 1 in de door of krachtens een wets-, decretale of reglementsbepaling vastgelegde gevallen; 2 nadat hij het schriftelijke akkoord heeft gekregen van de derde die door de onthulling zal worden getroffen. De plicht tot geheimhouding geldt zowel voor de VC als de DPO. Artikel 38, lid 5, van de AVG bepaalt dat de DPO met betrekking tot de uitvoering van zijn taken tot geheimhouding of vertrouwelijkheid is gehouden. 13