De functionaris voor gegevensbescherming: een

De functionaris voor
gegevensbescherming: een schaap
met vijf poten
Door mr. P.L. Coté MBA*
Werken in overeenstemming met de nieuwe regelgeving op het gebied van gegevensbescherming
vergt een domeinoverschrijdende aanpak van organisaties. In deze bijdrage wordt verkend welke
eisen er gesteld worden en hoe organisaties kunnen voldoen aan de eisen van de voorgestelde
Europese privacyverordening en andere regels. Daarbij wordt met name de positie van de functionaris
gegevensbescherming nader bestudeerd. We zullen zien dat een goede FG organisaties voor veel
ellende kan behoeden. Maar wat is een goede FG? Wat doet een FG allemaal? Op zoek naar een
schaap met vijf poten.
1 Inleiding: stand van zaken
Begin 2012 heeft de Europese Commissie een voorstel voor een privacyverordening1
gepresenteerd die rechtstreeks van toepassing zal zijn in de lidstaten. Het voorstel bleek een
van de meest controversiële voorstellen ooit uit Brussel. Lobbyisten stelden meer dan 4000
amendementen op de tekst van de Commissie voor. Sindsdien is het commissievoorstel
besproken in de commissie van het Europees Parlement voor burgerlijke vrijheden, justitie en
binnenlandse zaken (LIBE). Op 22 oktober 2013 heeft deze commissie ingestemd met een
gewijzigde tekst voor de General Data Protection Regulation (GDPR) waarin de amendementen
zijn verwerkt. Op vele punten stelt de nieuwe tekst hogere eisen aan de gegevensbescherming
dan het oorspronkelijke commissievoorstel.
1
E120003 - Voorstel voor een verordening betreffende de bescherming van individuen in verband met
de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene
verordening gegevensbescherming) Brussel 25 januari 2012, COM(2012) 11 final.
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:NL:PDF
De nieuwe tekst is op 12 maart 2014 aangenomen door het Europees Parlement met 621
stemmen voor, 10 tegen en 22 onthoudingen. Op dit moment (mei 2014) bepaalt de Raad van
Ministers een standpunt. Als de Raad overeenstemming heeft bereikt, beginnen de
onderhandelingen met het Parlement en de Commissie: de zogenoemde triloog. Omdat de
uitkomst van de onderhandelingen nog ongewis is, zal in deze bijdrage zowel het
commissievoorstel (verder aangeduid als EC-voorstel) als de tekst van het Europees Parlement
(verder aangeduid als EP-voorstel) worden besproken. Inwerkingtreding van de GDPR is
voorzien voor 2015.
1.1 De FG wordt verplicht
Een belangrijke wijziging ten opzichte van de huidige wetgeving is dat een verantwoordelijke
of verwerker in de zin van de GDPR onder bepaalde omstandigheden verplicht wordt om een
functionaris voor gegevensbescherming (FG) aan te stellen. In het EC-voorstel is dit het geval
wanneer de verantwoordelijke een overheidsinstantie of -orgaan is, een organisatie is die
minimaal 250 werknemers heeft of een organisatie is die hoofdzakelijk belast is met
verwerkingen die regelmatige en stelselmatige observatie van betrokkenen vereisen.
Het EP-voorstel vereist (in plaats van 250 werknemers) de aanstelling van een FG als gegevens
van meer dan 5.000 betrokkenen worden verwerkt in een aaneengesloten periode van 12
maanden. Bovendien stelt het EP-voorstel een FG verplicht wanneer de kernactiviteiten van de
verantwoordelijke of verwerker bestaan uit de verwerking van gevoelige persoonsgegevens,
locatiegegevens of gegevens over kinderen of werknemers in grote archiefsystemen.
Nog afgezien van de overheidsorganisaties krijgen naar schatting tenminste 6.000 organisaties
in Nederland te maken met deze verplichting. Deze nieuwe verplichting houdt in dat
aanstelling van een FG verplicht wordt op straffe van een boete van € 1 miljoen. Er zijn nu zo’n 370 FG’s ingeschreven bij het Cbp2. Rekening houdend met uitval en vervanging zal de vraag
2
stand mei 2014
2/18
naar de ̀FG nieuwe stijl ́ in de eerste jaren na invoering van de GDPR naar schatting zo’n 5.000 à 10.000 per jaar bedragen. De uiteindelijke vervangingsvraag zal na verloop van vijf jaar naar
schatting tussen de 1.000 en 5.000 liggen. De verplichting om een FG aan te stellen en de ́
boete op overtreding zullen er dus voor zorgen dat de vraag naar ̀FG’s nieuwe stijl ́
de komende jaren zeer groot zal zijn.
1.2 Wat is een ̀FG nieuwe stijl ́
De FG moet volgens de GDPR op grond van zijn professionele kwaliteiten worden aangesteld
en, in het bijzonder, op grond van zijn deskundigheid op het gebied van wetgeving en de
praktijk inzake gegevensbescherming en zijn vermogen de in artikel 37 van de GDPR genoemde
taken van de FG te vervullen.3 De FG moet niet alleen beschikken over juridische
deskundigheid, maar hij of zij moet ook verstand hebben van ICT en informatiebeveiliging. Bij
datalekken moet de FG snel kunnen handelen als crisismanager. De FG moet vakinhoudelijke
kennis en ervaring hebben. Bovendien moet hij of zij met autoriteit de toezicht en compliance
rol vervullen. Een FG moet zowel met ICT-deskundigen over praktische informatiebeveiliging
kunnen overleggen, als met bestuurders en toezichthouders over governance en
risicomanagement. En dan hebben we het nog niet gehad over de dubbelrol van de FG als
adviseur en toezichthouder. Om verstandig met deze beide rollen om te gaan moet een FG
over bijzondere persoonlijke kwaliteiten beschikken.
Daar komt nog bij dat de ‘FG nieuwe stijl’ met het van kracht worden van de aanstaande weten regelgeving - naast toezichthoudende taken - meer en meer operationele taken krijgt
toebedeeld. Denk hierbij aan het vastleggen van documentatie- en informatieverplichtingen,
het beantwoorden van verzoeken van betrokkenen en van de toezichthouder en het
organiseren van risicomanagement op het vlak van identity-, privacy- & cybersecurity.
3
Artikel 35 lid 5 GDPR.
3/18
In dit artikel wordt onderzocht welke eisen de GDPR aan de FG stelt, welke taken de GDPR aan
de FG toedeelt, en hoe organisaties en FG’s daarmee om moeten gaan. Voor we daaraan
toekomen is het echter van belang om het karakter en de achtergrond van de GDPR te
schetsen. Als inleiding op de nieuwe regels wordt eerst de snelle ontwikkeling die het begrip
privacy doormaakt, beschreven.
2 De ontwikkeling van het privacybegrip: Privacy 2.0
“Van mij mogen ze alles weten, want ik heb niks te verbergen”, zo luidde vaak de reactie als het over privacy ging. Het onderwerp ‘privacy’ leek de gemiddelde burger niet erg te interesseren. Opvraag van persoonsgegevens bij telecomproviders, automatische
nummerplaatherkenning op snelwegen, cookies die je bijna moet accepteren, overmatige
dataverzameling door Google Streetview hebben niet geleid tot opschudding of protestacties.
Integendeel, we waren juist massaal bereid om zelf persoonlijke informatie prijs te geven. We
deelden gemakkelijk locatiegegevens via onze mobiele telefoon en gaven apps toegang tot de
contacten in ons adressenbestand. Veel gebruikers van social media ‘posten’ of ‘tweeten’ materiaal zonder zich erg druk te maken over privacy instellingen. Privacy leek geen issue te
zijn.
Sinds kort lijkt er sprake van een kentering te zijn. Steeds meer gebruikers van social media
realiseren zich dat bedrijven als Google, Apple en Facebook geld verdienen met hun
persoonlijke gegevens. Elke klik of ‘like’ biedt een aanleiding om een gepersonaliseerd aanbod te doen.
Hoe kan het dat privacy pas recent weer meer in de belangstelling is komen te staan? Een deel
van het antwoord is ongetwijfeld: omdat we pas aan het begin staan van de digitale revolutie
en de ontwikkelingen zo snel gaan dat ons ‘maatschappelijk privacybewustzijn’ daarmee geen gelijke tred houdt.
4/18
Een ander deel van het antwoord is dat de term ‘privacy’ ons op het verkeerde spoor zet. Privacy betekende van oudsher zoiets als ‘het recht om met rust gelaten te worden’, maar dat is in het internettijdperk van ‘privacy 2.0’ een gepasseerd station. Het is bijna onmogelijk om als burger, consument een greep te houden op persoonlijke informatie, want de gemiddelde
Nederlander staat geregistreerd in 250 tot 500 bestanden4. Gegevens die her en der zijn
opgeslagen worden nu met elkaar gecombineerd. Juist die koppeling levert commercieel
interessante informatie op.
‘Behavioral advertising’ is een voorproefje van de mogelijkheden die in het verschiet liggen. Als
u eerder op internet heeft gezocht naar een hotel, een vliegreis of een koffiezetapparaat, dan
ziet u een volgende keer aanbiedingen voor vergelijkbare zaken op uw scherm verschijnen. Het
verdienmodel van ondernemingen die actief zijn op internet is voor een groot deel gebaseerd
op gegevens die verzameld worden voor ‘behavioral advertising’: advertenties die worden afgestemd op eerder zoekgedrag. ‘Dynamic pricing’, het verschijnsel dat de prijs voor de
vliegreis ineens is veranderd bij een nieuw bezoek aan de website, is een ander voorbeeld.
Nu is een aanbieding voor een koffiezetapparaat of de prijs van een vliegreis nog tamelijk
onschuldig, maar door meer persoonlijke informatie bij elkaar te brengen krijgt het geheel
meer impact op de privacy. Zo maken handelsinformatiebureaus kredietprofielen om voor hun
klanten het debiteurenrisico in kaart te brengen. De voorwaarden voor de lening worden
bepaald door de informatie die over de betrokkene te vinden is. Handelsinformatiebureaus
gebruiken daarbij statistische gegevens over de woonomgeving, zoals het gemiddelde inkomen
in de buurt.
Hier gaat het dan niet meer om inbreuken op de persoonlijke levenssfeer puur door het
verzamelen van persoonlijke informatie. De inbreuk zit in wat er vervolgens mee gebeurt. Aan
4
Cbp, Onze digitale schaduw, Den Haag, 2009. Nu ligt het aantal ongetwijfeld nog veel hoger.
5/18
de hand van eerdere veronderstellingen en standaard procedures wordt de betrokkene
beoordeeld en ingedeeld in een categorie. De informatie wordt gebruikt voor een (al of niet)
automatische beslissing of een betrokkene in aanmerking komt voor bijvoorbeeld
studiefinanciering of een vergunning of een ziektekostenverzekering.
Het begrip ‘privacy’ heeft door deze invasieve ontwikkelingen een ander karakter gekregen. Privacy is in een volgende fase gekomen. Privacy 2.0 vereist nieuwe regels. De Europese
Commissie en het Europese Parlement hebben dat goed begrepen en komen met regels die
de burgers van de lidstaten beter moeten beschermen: de empowerment van de betrokkene.
3 Empowerment als kenmerk van de GDPR
De Commissie geeft met het voorstel voor de GDPR blijk van een moderne visie op
gegevensbescherming. In het internettijdperk is er behoefte aan een nieuw privacybegrip dat
inspeelt op de nieuwe verhoudingen tussen betrokkenen en verantwoordelijken. De GDPR
kenmerkt zich door het streven om de rechten van betrokkenen zodanig te versterken dat zij
‘in control’ komen van de eigen persoonlijke gegevens. Een belangrijke aanleiding voor de GDPR is volgens de verantwoordelijke EU-commissaris
Viviane Reding5 de verdere eenwording van de communautaire markt. Door één wettelijk
regime voor gegevensbescherming vast te stellen worden handelsbelemmeringen als gevolg
van verschillen tussen de 27 lidstaten weggenomen. In meer algemene zin wijst de Commissie
op de bijdrage van de GDPR aan de verwezenlijking van de doelstellingen van de Digitale
Agenda voor Europa, het Stockholm-actieplan en de Europa 2020-strategie. Minstens zo
belangrijk is echter de emancipatoire doelstelling van de GDPR om de gegevens van burgers
5
http://europa.eu/rapid/press-release_IP-12-46_en.htm?locale=en
6/18
beter te beschermen. Degene wiens data verzameld worden, de betrokkene, moet zelf kunnen
bepalen wat er wel en niet met de gegevens gedaan mag worden.
Vanuit transatlantisch perspectief hebben schrijvers als Swire6 opgemerkt dat er met de
aankondiging van de GDPR een “second wave of privacy for the Internet age” is begonnen. De aanleiding voor die hernieuwde aandacht voor privacyvraagstukken zijn volgens Swire recente
ingrijpende technologische veranderingen. ‘Sociale’ netwerken zijn in korte tijd gegroeid van
nul tot een miljard gebruikers. Mobiele apparaten zoals smartphones en tablets zijn
alomtegenwoordig en roepen de vraag op hoe locatiegegevens moeten worden behandeld. En
‘online behavioral advertising’, denk aan het gebruik van ‘cookies’, heeft zowel in Europa als in
de VS al geleid tot speciale regelgeving, om tegemoet te komen aan gesignaleerde
privacybezwaren.
Deze ontwikkelingen vragen om een nieuwe positiebepaling van betrokkenen en
verantwoordelijken, van burgers ten opzichte van overheden en van consumenten in hun
relatie tot bedrijven. De EU-commissie kiest met de GDPR voor de emancipatie van de
betrokkene. Het sociologische begrip ‘empowerment’ is volgens sommigen rechtstreeks van toepassing op de GDPR. In deze visie is de positie van betrokkenen gemarginaliseerd door de
technologische en commerciële ontwikkelingen en geeft de GDPR instrumenten om het
grondrecht op privacy te verdedigen en terug te winnen. Het ‘recht om vergeten te worden’7
en de verplichting voor verantwoordelijken om te voorzien in dataportabiliteit8 zijn
voorbeelden van de ‘empowerment’ van de betrokkene. 6
Swire, P en K. Ahmad, Foundations of Information Privacy and Data Protection, Portsmouth,
International Association of Privacy Professionals, 2012, p.ix.
7
Art. 17 GDPR. Het EP-voorstel hanteert, in plaats van “het recht vergeten te worden’, de neutrale term “erasure”, maar is inhoudelijk zeker zo veeleisend als het EC-voorstel voor artikel 17.
8
Art. 18 GDPR: het recht van gegevensoverdraagbaarheid. De betrokkene moet in staat gesteld worden
om de eigen gegevens ‘weg te halen’ bij de verantwoordelijke.
7/18
Het EP-voorstel gaat op sommige punten nog verder in de ‘empowerment’van betrokkenen. Zo is een nieuw artikel 13a ingevoegd dat de informatieverplichting van de verantwoordelijke
aan betrokkenen van artikel 14 uitbreidt. Voorafgaand aan artikel 14 moet de
verantwoordelijke betrokkenen op de hoogte stellen of er meer gegevens worden verzameld
dan noodzakelijk voor het doel, of gegevens langer bewaard worden, of persoonsgegevens
worden doorgegeven aan commerciële partijen, of gegevens voor een ander doel dan het
oorspronkelijke verwerkt worden en of persoonsgegevens al of niet versleuteld worden
bewaard. De verantwoordelijke moet betrokkenen over deze punten informeren door middel
van voorgeschreven en gestandaardiseerde grafische symbolen, zodat betrokkenen eenvoudig
en eenduidig op de hoogte gesteld worden hoe het met de gegevensbescherming is gesteld.
4 Het ingrijpende karakter van de GDPR: de boetes
Kenmerkend voor de GDPR, naast de empowerment van de betrokkene, is dat de gevolgen van
de GDPR ingrijpend zijn. Veel van de nieuwe regels wijken af van de huidige en er gelden hoge
boetebepalingen bij overtreding. Nieuwe onderwerpen die worden geïntroduceerd zijn de
meldplicht bij datalekken9, het privacy impact assessment (PIA)10 en de verplichting om
privacybeleid te formuleren11. ‘Privacy by design and by default’12 was al een principe van
gegevensbescherming, maar de GDPR maakt het tot een expliciete verplichting om
privacybeschermende maatregelen in informatiesystemen in te bouwen, zodat gewaarborgd
wordt dat niet meer gegevens dan noodzakelijk worden verwerkt, op een manier die zo min
mogelijk inbreuk maakt op de privacy.
9
Art. 31 en 32 GDPR. Een datalek moet door de voor verwerking verantwoordelijke ‘zonder onnodige vertraging en zo mogelijk binnen 24 uur’ gemeld worden aan de toezichthouder en aan de betrokkenen.
10
Art. 33 GDPR. Bij een PIA of privacy effect beoordeling wordt, voordat de verwerking gestart wordt,
beoordeeld welk effect de verwerking op de bescherming van persoonsgegevens zal hebben.
11
Art. 22 GDPR.
12
Art. 23 GDPR.
8/18
En dan de boetes13. Ik noem enkele overtredingen waarvoor een boete van de hoogste
categorie kan worden opgelegd. Een boete van € 1 miljoen kan worden opgelegd door de
toezichthouder als er geen intern privacybeleid is vastgelegd of als er geen passende
maatregelen zijn genomen om voor naleving van het privacybeleid te zorgen. Ook als er geen
maatregelen zijn genomen om naleving te kunnen aantonen kan de verantwoordelijke een
boete krijgen. Dat geldt ook voor toepassing van de ‘privacy by design’ verplichtingen en de beveiligingsverplichtingen. Dezelfde boete geldt wanneer de verantwoordelijke niet voldoet
aan de meldplicht datalekken of de plicht om een privacy impact assessment te houden. In
dezelfde categorie valt het niet aanwijzen van een functionaris gegevensbescherming: een
boete van € 1 miljoen.
De hoogte van de boetes uit het EC-voorstel heeft geleid tot vele protesten. Die hebben weinig
indruk gemaakt op verantwoordelijk Eurocommissaris Viviane Reding. Zij betitelde de boete
van € 150.000 die de Franse toezichthouder aan Google oplegde als ‘pocket money’ voor Google. Het betrof de maximale boete die mogelijk is onder de huidige regels, maar betekende
voor Google slechts 0,0003 % van de wereldwijde jaaromzet. Onder de GDPR zou een boete
van € 731 miljoen mogelijk zijn geweest: “a sum much harder to brush of”.14 Het Europees
Parlement is het kennelijk met haar eens dat hoge boetes noodzakelijk zijn. In het EP-voorstel
is het mogelijk om nog hogere boetes op te leggen: 5% van de wereldwijde jaaromzet of € 1 miljard.
Met dergelijke hoge boetes wordt gegevensbescherming een onderwerp voor de Raad van
Bestuur. Het gaat hier namelijk om sancties die, in termen van de accountant, een risico van
‘materieel belang’ opleveren. Bij de controle van de jaarrekening zal de accountant hiernaar 13
Art. 79 GDPR.
14
V. Reding, The EU Data protection reform: helping businesses thrive in the digital economy, speech
München, 19 jauari 2014, europa.eu/rapid/press-release_SPEECH-14-37_en.htm
9/18
vragen. Op grond van de Nederlandse corporate governancecode is de Raad van Bestuur
verantwoordelijk voor het risicobeheersingssysteem. De Raad van Bestuur rapporteert
daarover aan de Raad van Commissarissen. Privacy zal voortaan onderdeel moeten worden
van het risicobeheersingssysteem, want bestuurders en toezichthouders moeten in hun
jaarverslag of in hun in-control-statement een beschrijving geven van de risico’s die zijn verbonden aan de bedrijfsvoering. Zo is privacy een ‘board-issue’ geworden. De FG speelt daarin een belangrijke rol.
5 De FG in de context van de GDPR
De rol van de FG wordt sterk bepaald door de hiervoor besproken aspecten van de GDPR: het
ingrijpende karakter van de GDPR en de empowerment van het individu. Enerzijds ziet de FG
toe op het privacybeleid van de organisatie. Is dat beleid in overeenstemming met de GDPR en
wordt het correct uitgevoerd? Het toezicht op de compliance geeft de functie van FG een
verantwoordelijk karakter, zeker wanneer we daarbij de hoogte van de boetes in aanmerking
nemen. Anderzijds is de FG degene die ervoor zorgt dat betrokkene hun rechten kunnen
uitoefenen zoals het recht op informatie over de verwerking en de identiteit van de
verantwoordelijke15, de toegang tot de eigen persoonsgegevens16, en de rectificatie17 en het
wissen van gegevens18. De FG is dus instrumenteel voor de ‘empowerment’ van de betrokkene. Maar wie zorgt er voor dat de FG zijn taak goed kan uitoefenen? Voordat we deze
vraag beantwoorden gaan we te rade in de GDPR. Wat zegt de GDPR over de FG?
15
Artikel 14 GDPR.
16
Artikel 15 GDPR.
17
Artikel 16 GDPR.
18
Artikel 17 GDPR.
10/18
5.1 De GDPR over de FG
De taken en bevoegdheden van de FG vinden we in Afdeling 4 van de GDPR. Artikel 35
behandelt de aanwijzing van de FG. Artikel 36 gaat over de positie van de FG en artikel 37
behandelt de taken van de FG. Lid 5 van Artikel 35 luidt, kortweg weergegeven, als volgt.
De FG wordt door de voor de verwerking verantwoordelijke aangewezen op grond van zijn
professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de
wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen de FG- taken te
vervullen. Het vereiste niveau van deskundigheid wordt met name bepaald op grond van de
uitgevoerde gegevensverwerking en de bescherming die voor de verwerkte gegevens vereist
is.19
De verantwoordelijke krijgt met artikel 35 lid 5 enkele aanwijzingen waarmee hij rekening zal
moeten houden bij het aanstellen van een FG. Naast een algemeen profiel gelden er
organisatie specifieke eisen die onder andere afhankelijk zijn van de mate van bescherming die
voor de verwerkte gegevens vereist is. Naarmate gegevens gevoeliger zijn, bijvoorbeeld in het
geval van gegevens over de gezondheid, moeten er hogere eisen gesteld worden aan de
deskundigheid van de FG. Het spreekt vanzelf dat ook de omvang en de samenstelling van de
organisatie20 de eisen die aan de FG worden gesteld bepalen. Niet alleen de huidige
functiebeschrijvingen van de FG zullen moeten worden aangepast, ook voor de instroom van
de nieuwe FG’s en de bijbehorende functiebeschrijvingen is er werk aan de winkel voor de HRM-branche.
Andere bepalingen voor de aanstelling van een FG zijn dat eventuele overige beroepstaken
geen belangenconflict op mogen leveren,21 en dat de FG voor twee jaar wordt benoemd.22
19
Artikel 35 lid 5 GDPR.
20
Artikel 35 lid 2 GDPR.
21
Artikel 35 lid 6 GDPR.
11/18
Gedurende die periode geldt een zekere ontslagbescherming: de FG kan alleen worden
ontslagen wanneer hij niet langer voldoet aan de voorwaarden voor de uitvoering van zijn
taken.23 De FG hoeft niet in dienst te zijn bij de verantwoordelijke, maar kan ook ingehuurd
worden.24 Lid 10 bepaalt tenslotte dat de betrokkenen de FG kunnen verzoeken ‘om de uitoefening van de rechten van de GDPR’. Bedoeld zijn de rechten die op grond van de GDPR toekomen aan betrokkenen. Hier zien we de rol van de FG als instrument bij de
‘empowerment’ van de betrokkene aan de dag treden.
5.2 Positie van de FG
Over de positie van de FG zegt artikel 36 van de GDPR het volgende.
1.
De verantwoordelijke zorgt ervoor dat de FG naar behoren en tijdig wordt betrokken bij
alle aangelegenheden die verband houden met de bescherming van persoonsgegevens.
2.
De verantwoordelijke zorgt ervoor dat de FG zijn plichten en taken onafhankelijk vervult
en geen instructies ontvangt met betrekking tot de uitoefening van de functie. De FG
brengt rechtstreeks verslag uit aan de leiding van de verantwoordelijke. Het EP-voorstel
voegt aan dit lid 2 toe dat de verantwoordelijke een lid van de Raad van Bestuur aan moet
wijzen die verantwoordelijk is voor het voldoen aan de regels van de GDPR en aan wie de
FG rechtstreeks rapporteert.
3.
De verantwoordelijke ondersteunt de FG bij de vervulling van zijn taken en zorgt voor
personeel, kantoren, uitrusting en alle andere middelen die nodig zijn voor de vervulling
van de in artikel 37 bedoelde plichten en taken. Het EP-voorstel bepaalt bovendien dat de
verantwoordelijke de FG in staat moet stellen zijn kennis op peil te houden.
22
Het EP-voorstel maakt hier onderscheid tussen de externe FG die voor twee jaar benoemd wordt, en
de ‘medewerker die benoemd wordt als FG’. Voor de laatste geldt een benoemingstermnijn van vier jaar.
23
Artikel 35 lid 7 GDPR.
24
Artikel 35 lid 8 GDPR.
12/18
Het EP-voorstel voegt nog een vierde lid toe waarin bepaald wordt dat FG’s gebonden zijn aan een geheimhoudingsplicht ten aanzien van de persoonsgegevens van betrokkenen, tenzij de
betrokkene de FG daarvan ontheft.
Uit dit artikel en met name lid 2 blijkt de bijzondere toezichtrol van de FG. Hij vervult zijn taak
onafhankelijk en krijgt geen instructies. De rechtstreekse rapportage aan de Raad van Bestuur
is in overeenstemming met de toezichthoudende taak. De rol van de FG lijkt in dit opzicht op
die van de controller. Een verbindende factor tussen beide functionarissen is het onderwerp
risicomanagement. Voor het profiel van de FG betekent het dat de FG inhoudelijk deskundig
moet zijn op het gebied van risicomanagement. Bovendien moet hij of zij gesprekspartner
(kunnen) zijn van bestuurders en toezichthouders. Dat houdt ook in dat de FG onwelgevallige
boodschappen zodanig weloverwogen en overtuigend moet kunnen overbrengen dat de Raad
van Bestuur in actie komt, om door de FG gesignaleerde non-compliance te corrigeren.
5.3 Taken van de FG
Als taken van de FG noemt artikel 37 achtereenvolgens, kortweg weergegeven,
a.
het informeren en adviseren van verantwoordelijke over diens verplichtingen;25
b.
het toezien op de uitvoering van het beleid van de verantwoordelijke, met inbegrip van de
toewijzing van verantwoordelijkheden, de opleiding van het bij de verwerking betrokken
personeel en de betreffende audits;
c.
het toezien op de uitvoering van deze GDPR, met name met betrekking tot de vereisten
inzake privacy by design, privacy by default en gegevensbeveiliging en met betrekking tot
het informeren van betrokkenen en hun verzoeken in het kader van de uitoefening van
hun rechten uit hoofde van deze GDPR;
25
Het EP-voorstel voegt aan deze taken toe “het bevorderen van bewustzijn” (to raise awareness). Bovendien specificeert het EP-voorstel voor artikel artikel 35 lid 1 sub a dat de FG de verantwoordelijke
informeert en adviseert over diens verplichtingen “in het bijzonder de technische maatregelen en procedures”.
13/18
d.
ervoor zorgen dat de documenten waarin de verwerkingen worden beschreven worden
bewaard;
e.
het toezien op het documenteren, melden en meedelen van inbreuken in verband met
persoonsgegevens overeenkomstig de artikelen 31 en 32 (datalekken);
f.
het toezien op de uitvoering van de privacyeffectbeoordeling door verantwoordelijke;
g.
het toezien op het gevolg dat aan verzoeken van de toezichthoudende autoriteit is
gegeven en het, binnen de grenzen van de bevoegdheid van de functionaris voor
gegevensbescherming, verlenen van medewerking aan de toezichthoudende autoriteit op
diens verzoek of op eigen initiatief van de FG;
h.
het optreden als contactpunt voor de toezichthoudende autoriteit inzake
aangelegenheden in verband met de verwerking en het op eigen initiatief in voorkomend
geval raadplegen van de toezichthoudende autoriteit.
De GDPR legt hiermee de FG een breed scala aan taken op waarvan de aard varieert van
praktisch uitvoerend tot strategisch en waarvan de inhoud betrekking heeft op onderwerpen
variërend van informatiebeveiliging, administratieve organisatie, gegevensbeveiliging, audits,
privacy by design en default, opleidingen, privacyeffectbeoordelingen en datalekken. Het EPvoorstel lijkt de praktische component te willen benadrukken door de toevoegingen “het bevorderen van het bewustzijn” en de “technische maatregelen en procedures” waar de FG de verantwoordelijke in het bijzonder
over moet informeren en adviseren.
De hoeveelheid en variëteit van de onderwerpen en de mate van verantwoordelijkheid doen
een groot beroep op deskundigheid en vaardigheden van de FG. De hoge boetes bij
overtredingen hebben tot gevolg dat de FG een grote verantwoordelijkheid draagt. De Raad
van Bestuur moet erop kunnen vertrouwen dat de FG de organisatie behoedt voor boetes en
overige risico’s met betrekking tot de gegevensbescherming.
14/18
Met een dergelijk takenpakket is het noodzakelijk dat de FG de scope en reikwijdte van zijn
werkzaamheden en verantwoordelijkheden goed in kaart brengt. Daarover is
overeenstemming nodig met de verantwoordelijke, zodat men elkaar niet voor verrassingen
stelt. Concreet zal dat bijvoorbeeld betekenen dat er duidelijkheid moet bestaan over de
omvang van de ‘corporate family’. Welke entiteiten horen tot de ‘groep van ondernemingen’ ex artikel 35 lid 2 GDPR?26 De FG moet dat weten om de eigen verantwoordelijkheid te kunnen
begrenzen. Van de relevante verbonden partijen moet de FG immers de verwerkingen
documenteren en vragen van betrokkenen beantwoorden. Daarbij zal de FG aan de
verantwoordelijke moeten aangeven wat er nodig is om de functie goed te vervullen. Hij of zij
heeft overzicht nodig om tot voldoende inzicht te komen en de verantwoordelijke goed te
adviseren. De verantwoordelijke op zijn beurt moet voorzieningen voor een goede
taakvervulling treffen.
Bij die randvoorwaarden en voorzieningen hoort dat de FG ondersteund wordt bij de
uitoefening van zijn taak. Dat houdt in dat er in ieder geval ruimte moet zijn voor
kennisbevordering. Generaliserend kun je zeggen dat huidige FG’s veelal een juridische of een ICT-achtergrond hebben. De GDPR verwacht dat beide deskundigheden in de FG verenigd zijn,
zodat de FG in ieder geval een gesprekspartner is op beide terreinen. Daarnaast verlangt de
GDPR kennis van gegevensbeveiliging, audits, risicomanagement en good governance. Dat zijn
nieuwe aandachtsgebieden voor de meeste privacy professionals en dat zal dus ook voor de
huidige FG’s opleiding en training vergen. Eerder is de vraag opgeworpen wie er voor de empowerment van de FG zorgt. Tot op zekere
hoogte is het de verantwoordelijke die, zoals eerder vermeld, een goede taakvervulling
mogelijk moet maken, door middel van opleiding, personeel en apparatuur. Daarnaast moet
de FG terug kunnen vallen op een netwerk van vakgenoten en externe ondersteuning. De
unieke positie binnen een organisatie en de rol als toezichthouder verhinderen dat de FG daar
26
Op grond van artikel 35 lid 2 GDPR kan een groep van ondernemingen één FG benoemen.
15/18
zijn klankbord zoekt. Voor de uitwisseling van ervaring, intervisie en onderlinge
kennisbevordering is een netwerk van FG’s nodig. 6 Wat staat een verantwoordelijke te doen?
De voorbereiding op de GDPR vergt betrokkenheid van professionals als informatiebeveiligers,
juristen, controllers, IT-auditors, de externe accountant, maar ook van bestuurders en interne
toezichthouders. Het ontwikkelen van privacybeleid volgens de GDPR kost tijd.
Verantwoordelijken moeten daarom tijdig beginnen met het vaststellen van de nulsituatie.
Wat is de stand van de informatiebeveiliging, is er een FG of moet er een aangesteld worden,
is er privacybeleid, is privacy onderdeel van risicomanagement en de planning- en
controlcyclus? Een FG moet geselecteerd worden en aangesteld, privacybeleid moet
ontwikkeld worden en er moet een geïntegreerde ‘baseline’ opgesteld worden waar de organisatie aan moet voldoen wat betreft privacy en informatiebeveiliging. Privacy impact
analyses moeten uitgevoerd worden op de verwerkingen van persoonsgegevens en de
resultaten moeten worden gebruikt om ‘privacy by design’ in te bouwen in informatiesystemen. Verder moeten de betrokken professionals worden opgeleid. En voor
datalekken moeten draaiboeken gemaakt worden om te zorgen dat het lek tijdig en
gecontroleerd aan de toezichthouder kan worden gemeld.
7 Wat doet Duthler Associates?
Duthler Associates heeft vanuit een jarenlange ervaring met het onderwerp privacy en
gegevensbescherming een dienstverleningsaanbod samengesteld dat inspeelt op de behoeften
van organisaties en FG’s in de aanloop naar het van toepassing zijn van de GDPR. Duthler Associates verzorgt met strategische partners de werving en selectie van FG’s waarin naast de 16/18
kenniscomponent ook rekening gehouden wordt met gedrag en vaardigheden. Eenmaal
geselecteerd wordt een passende opleiding op maat gemaakt, rekening houdend met eerder
verworven competenties volgt de kandidaat-FG geselecteerde modules of de gehele ‘leergang FG’. Aan de leergang is een certificaat verbonden dat recht geeft op inschrijving in het FGregister van Duthler Associates. Het FG-register is voor organisaties die op zoek zijn naar een
FG te raadplegen. Om de inschrijving als FG te behouden moet een programma van
permanente educatie gevolgd worden. Daarnaast organiseert Duthler Associates op basis van
het register FG-communities waar FG’s elkaar ontmoeten. 8 Tenslotte
De GDPR stelt burgers beter in staat om hun rechten als betrokkene uit te oefenen
(empowerment). De FG staat betrokkenen terzijde om hun rechten te effectueren.
Verantwoordelijken zullen aan de toegenomen verplichtingen van de GDPR moeten voldoen
op straffe van hoge boetes. Om als Raad van Bestuur en Raad van Commissarissen ‘in control’ te blijven van de risico’s voor de organisatie moeten verantwoordelijken zich terdege
voorbereiden op de GDPR. De functionaris gegevensbescherming is daarbij een onmisbare
factor: als kwartiermaker, adviseur, risicomanager, compliance officer en toezichthouder.
Ook voor organisaties waarvoor de aanstelling van een FG geen verplichting is, verdient het
aanbeveling zorgvuldig te overwegen om een FG aan te stellen. Een FG is de onafhankelijke
spin in het web op het gebied van de bescherming van persoonsgegevens en is daardoor een
onmisbare factor in het risicomanagement van elke organisatie en een belangrijk instrument
om te kunnen voldoen aan de GDPR. Ook voor organisaties met minder dan 250 werknemers
of organisaties waarin persoonsgegevens van minder dan 5.000 betrokkenen worden verwerkt
in een jaar heeft het dus zin om op zoek te gaan naar een FG-schaap met vijf poten.
17/18
* Mr. Philip Coté MBA is jurist en bedrijfskundige en werkzaam als adviseur bij Duthler
Associates. Hij is gespecialiseerd in recht en beleid, privacyvraagstukken en vraagstukken
betreffende goed bestuur. Hij is auteur van de handreiking voor examencommissies van de
HBO-raad en adviseert hogescholen onder meer over gegevensbescherming, onderwijs- en
examenregelingen, publiek/privaat-vraagstukken en auteursrecht.
18/18