Data Protection Officer

Transcriptie

1 Data Protection Officer Met ingang van 25 mei 2016 is de Algemene Verordening Gegevensbescherming (AVG) in werking getreden. Een van de wijzigingen is het verplicht aanstellen van een Data Protection Officer. In deze whitepaper wordt toegelicht wat een Data Protection Officer is en waarom deze zo belangrijk is. Waar gaat deze whitepaper over? - Data Protection Officer - Taken en bevoegdheden - Positie van DPO - Outsourcen van de DPO Wie is de Data Protection Officer? Data Protection Officer, Privacy Officer, Functionaris voor Gegevensbescherming, allemaal termen voor een en dezelfde persoon. Maar wie is die Data Protection Officer en waarom heeft een organisatie behoefte aan een dergelijke speler? Wat voorafging De Functionaris voor Gegevensbescherming is geen nieuwe speler in de privacywetgeving, ook in de Wet bescherming persoonsgegevens werd hij al genoemd. In de artikelen 62 tot en met 64 Wbp staat onder meer opgenomen dat een organisatie een eigen functionaris voor de gegevensbescherming kan benoemen. Een organisatie is hiertoe niet verplicht. Met de inwerkingtreding van de AVG verandert dit en wordt een Data Protection Officer verplicht voor sommige organisaties. De Wet bescherming persoonsgegevens (Wbp) is op 1 september 2001 in werking getreden en is gebaseerd op de Europese Privacyrichtlijn 95/46/EG. Met ingang van 25 mei 2018 wordt de Richtlijn ingetrokken en daarmee komt ook de Wbp te vervallen omdat deze wetgeving niet langer aansluit op de moderne privacy behoeftes- en zorgen. De AVG is een verordening en dat betekent dat zij rechtstreeks van toepassing is en behoeft niet te worden geïmplementeerd middels een nationale wet. Een richtlijn legt alleen een bepaald doel vast dat de EU-landen moeten bereiken. De landen mogen dan zelf de wetgeving vaststellen om dat doel te bereiken, met als gevolg dat er verschillen kunnen zijn tussen de lidstaten. Dit verschil wordt met een verordening weggenomen.

2 Wat is het verschil tussen een Data Protection Officer, Privacy Officer of Functionaris voor Gegevensbescherming? Bijna niets, de Verordening spreekt officieel van een Data Protection Officer (DPO), wat in het Nederlands vertaald wordt als Functionaris voor Gegevensbescherming (FG). Ook de Wbp spreekt van een FG, terwijl de Richtlijn ook spreekt van een Data Protection Officer. De functies zijn vergelijkbaar en met al deze drie termen wordt vaak een en dezelfde persoon bedoeld: de interne toezichthouder die zich bezighoudt met de gegevensbescherming binnen de organisatie en alle risico s en vragen daaromheen. Toch kunnen er ook privacy officers zijn die geen FG zijn. Zij staan bijvoorbeeld niet vermeld in het openbare register en genieten geen ontslagbescherming. De privacy officer die geen FG is, houdt zich net als de FG bezig met het intern toezicht op naleving van de privacywetgeving, alleen zonder wettelijke bevoegdheden en taken. Zij functioneren veelal identiek. Volledigheidshalve spreken wij van een DPO of FG. Voor wie is de DPO verplicht? In artikel 37 van de AVG staat opgenomen dat een organisatie verplicht een DPO moet aanstellen wanneer a) de verwerking geschiedt door een overheidsinstantie of orgaan; b) de verwerkingsverantwoordelijke hoofdzakelijk is belast met verwerkingen die vanwege hun aard, omvang en of doeleinden regelmatige en stelselmatige observatie op grote schaal vereisen; of c) in geval van verwerking van bijzondere categorieën of met betrekking tot strafrechtelijke veroordelingen en strafbare feiten. Onder overheidsinstantie of -orgaan vallen ook private organisaties die publieke taken uitvoeren. De term hoofdzakelijk ziet op de core activities van een organisatie, de kerntaak die noodzakelijk is voor de uitoefening van de hoofdactiviteit, bijvoorbeeld een ziekenhuis. Zonder de verwerking van persoonlijke data is het verschaffen van gezondheidszorg nagenoeg onmogelijk. Organisaties die op grote schaal gegevens verwerken zijn bijvoorbeeld ziekenhuizen, openbare vervoerders, verzekeringsmaatschappijen, banken, zoekmachines en telecom- en internetproviders. Voor dergelijke organisaties is de aanstelling van een DPO verplicht. Wanneer gegevens doorlopend, op vaste termijnen of tijden, herhaaldelijk, constant of periodiek worden verwerkt, kan er worden gesproken van regelmatige en stelselmatige observatie. Ook dan is de aanstelling van een DPO verplicht.

3 De taken van de DPO De DPO houdt zich binnen de organisatie bezig met alles wat te maken heeft met de bescherming van persoonsgegevens. De DPO heeft volgens artikel 39 van de AVG onder meer de volgende taken: - Het informeren en adviseren van de verwerkingsverantwoordelijke en de werknemers die verwerken, over de verplichtingen van de Verordening en andere gegevensbeschermingsbepalingen; - Het toezien op naleving van de Verordening, andere gegevensbeschermingsbepalingen en het beleid van de organisatie. De DPO kan verantwoordelijkheden toewijzen, zorgen voor bewustwording en de opleiding van het bij de verwerking betrokken personeel en betreffende audits; - Advies verstrekken over de gegevensbeschermingseffectbeoordeling (PIA) en toezien op de uitvoering daarvan; - Samenwerken met de toezichthoudende autoriteit (Autoriteit Persoonsgegevens); - Optreden als contactpunt voor betrokkenen en de toezichthoudende autoriteit inzake met verwerking verband houdende aangelegenheden. BIJ DE UITVOERING VAN DEZE TAKEN MOET DE DPO REKENING HOUDEN MET DE AAN DE VERWERKING VERBONDEN RISICO S, EN MET DE AARD, DE OMVANG, DE CONTEXT EN DE VERWERKINGSDOELEINDEN. Vereisten voor DPO Een DPO wordt aangewezen op basis van zijn professionele kwaliteiten en zijn deskundigheid op het gebied van wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen om zijn taken te vervullen. De DPO moet ervaren en deskundig zijn. Het niveau van de ervaring en deskundigheid hangt af van het aantal persoonsgegevens dat u verwerkt en de gevoeligheid van deze gegevens. De Functionaris voor Gegevensbescherming is altijd een natuurlijke persoon.

4 De DPO voert zijn taken onafhankelijk uit, dat wil zeggen dat de DPO zijn taken kan vervullen zonder instructies te ontvangen van de organisatie. De DPO dient wel rechtstreeks verslag uit te brengen aan de hoogste leidinggevende van de organisatie over zijn werkzaamheden. De DPO geniet ontslagbescherming. Dit houdt in dat een DPO vaak wordt aangesteld voor een periode van twee jaar en in tussentijd niet kan worden ontslagen, tenzij hij niet langer voldoet aan de uitvoering van zijn taken. De positie van de DPO binnen de organisatie kan worden vergeleken met die van een OR-lid. Een organisatie kan een DPO in dienst nemen of op grond van een dienstverleningscontract zijn taken laten verrichten. Betrokkenen kunnen contact opnemen met de DPO over alle aangelegenheden in verband met de verwerking van hun gegevens. De DPO is gehouden tot geheimhouding of vertrouwelijkheid. De positie van de DPO binnen uw organisatie De voordelen van een DPO: Klanten, medewerkers etc. vertrouwen erop dat persoonsgegevens keurig volgens wettelijke regels worden verwerkt; Helpen bij toepassing privacy by design en privacy by default; Behoeden voor boetes; Meedenken en de organisatie behoeden voor fouten; De DPO is geen waakhond of politieagent! De DPO moet tijdig en naar behoren worden betrokken bij alle aangelegenheden die te maken hebben met de verwerking van persoonsgegevens. Daarbij dient de organisatie de DPO te ondersteunen bij zijn taken. De organisatie doet dit door de DPO toegang te geven tot de persoonsgegevens en de verwerkingsactiviteiten en hem de benodigde middelen ter beschikking te stellen voor het vervullen van zijn taken en het in stand houden van zijn deskundigheid. De organisatie dient dus ervoor te zorgen dat de DPO kantoorruimte tot zijn beschikking krijgt en andere middelen. De DPO kan ook andere taken vervullen, naast zijn taak als privacy officer. De organisatie moet er echter wel voor waken dat dit niet tot een belangenconflict leidt.

5 Wat kan uw organisatie doen? De AVG is op 25 mei 2016 in werking getreden en van toepassing vanaf 25 mei In tussentijd moet u uw organisatie klaarstomen voor deze nieuwe wetgeving. Vanaf 2018 kan de Autoriteit Persoonsgegevens (AP) boetes uitdelen wanneer u in strijd handelt met de Verordening. Deze boetes kunnen oplopen tot maar liefst 1 miljoen euro of 2% van de totale wereldwijde Een datalek is een inbreuk op de beveiliging waarbij persoonsgegevens worden vernietigd, gewijzigd of vrijkomen zonder dat dit de bedoeling is van de organisatie. Een kwijtgeraakte USB-stick, een gestolen laptop of een inbreuk van een hacker, zijn voorbeelden van datalekken. jaaromzet. Daarnaast kan het vertrouwen worden geschonden van de klanten en kan dit reputatieschade opleveren. Om dit te voorkomen doet u er verstandig aan tijdig een DPO aan te stellen, die deze risico s voor u in kaart kan brengen. Een DPO kan u ondersteunen om uw bedrijfsvoering conform de aankomende Verordening te laten plaatsvinden en in kaart brengen welke risico s u loopt en welke handelingen noodzakelijk zijn om de Verordening in uw organisatie te implementeren. Daarnaast is de DPO verantwoordelijk voor het beleid aangaande de meldplicht datalekken. Een datalek moet namelijk binnen 72 uur gemeld worden aan de toezichthoudende autoriteit en wellicht ook aan de betrokkenen. De DPO is hét aanspreekpunt voor uw organisatie ten tijde van een datalek.

6 Wat kan Consignium BV voor uw organisatie doen? Consignium levert gespecialiseerde Data protection officers die op basis van een dienstverleningscontract al uw privacy-gerelateerde vraagstukken en onderwerpen voor u behandelen. Onze privacy officers zijn gespecialiseerd en hebben ervaring op het gebied van gegevensbescherming. Onze privacy experts kunnen in-house opereren maar ook extern. Consignium kan ook uw huidige privacy office ondersteunen of medewerkers vervangen bij ziekte, vakantie of verloop. Daarnaast kunnen wij de bewustwording binnen uw organisatie vergroten door uw medewerkers te trainen. Wij helpen u bij het inregelen van bevoegdheden, processen, procedures en zorgen voor een concrete vastlegging van alle wettelijke vereisten. Waarom een DPO outsourcen? Waarom zou u de werkzaamheden betreffende de bescherming van persoonsgegevens uitbesteden als ook een medewerker deze taken op zich kan nemen?, hoor ik u denken. Het outsourcen van een DPO heeft voordelen ten opzichte van een interne DPO. Het biedt een betere waarborg voor de onafhankelijkheid van de DPO. Daarnaast heeft de externe DPO vaak meer ervaring met andere bedrijven en toegang tot een netwerk van andere Data Protection Officers. Bovendien moet u uw medewerker opleiden, kantoorruimte ter beschikking stellen en salaris betalen. Bedrijfseconomisch is het (vaak) niet haalbaar om voldoende expertise op te bouwen en te onderhouden. Daarbij hebben uw medewerkers wellicht genoeg taken te vervullen om dit erbij te doen. De rol van de DPO moet niet worden onderschat, de Verordening vraagt van de organisatie om privacy hoog op de agenda te plaatsen en als vast onderdeel in het bedrijfsproces op te nemen. Zo moet bijvoorbeeld een register worden bijgehouden waarin alle verwerkingsactiviteiten worden opgenomen.

7 Wat kunt u verwachten van de DPO van Consignium? De privacy experts van Consignium brengt alle datastromen in kaart en maakt een inventarisatie van de gegevens. Wij denken met u mee over het inregelen van privacy binnen de governance van uw organisatie. Ook nemen wij uw huidige beveiligingsmaatregelen onder de loep. Wij maken een intern privacybeleid, waarin onder meer wordt opgenomen op welke manier een datalek moet worden gemeld. Contact met de Autoriteit Persoonsgegevens onderhouden wij ook voor uw organisatie en wij creëren bewustwording bij uw medewerkers. Wij ondersteunen u bij een (periodiek) Privacy Impact Assessment en rapporteren op een wijze zoals u dat graag wilt. Daarnaast verzorgen wij graag het privacystatement voor uw website. Wij zijn altijd bereikbaar en passen ons aan uw werkwijze aan. Voor meer informatie kunt u contact opnemen met onze privacy experts: mr. Roswitha Talen ritalen@consignium.nl Telefoon: +31 (0) Wij ontzorgen u op het gebied van privacy WANNEER U GEEN FULLTIME PRIVACY OFFICER NODIG HEBT, MAAR WEL EEN PRIVACY OFFICER NODIG HEBT DIE FULLTIME VOOR U KLAAR STAAT! Consignium BV Koningsweg EC Soest T +31 (0) info@consignium.nl

8 Disclaimer Deze whitepaper is bedoeld voor informatieve doeleinden en niet voor het doel van het verstrekken van juridisch advies. Neem contact op met een advocaat of een juridisch adviseur om advies in te winnen met betrekking tot een bepaald onderwerp of een probleem met betrekking tot het onderwerp van deze whitepaper. Hoewel Consignium betracht uiterste zorgvuldigheid bij het produceren van al haar informatiefolders, met inbegrip van deze whitepaper, kan Consignium geen garantie voor de juistheid ervan. Consignium aanvaardt geen aansprakelijkheid voor acties die worden ondernomen op basis van dergelijke materialen, met inbegrip van deze whitepaper te accepteren.