AVG compliance: heeft uw organisatie een privacy officer nodig? (11/20)

Op 25 mei wordt de Algemene Verordening Gegevensbescherming (AVG) van kracht. Deze wet eist zorgvuldige omgang met persoonsgegevens, op straffe van hoge boetes. Een interessante manier om uw compliance met deze nieuwe Europese privacywet te verzorgen, is het aanstellen van een privacy officer, in goed Nederlands een functionaris gegevensbescherming. Wat houdt deze functie nu in en aan welke eisen moet deze functionaris voldoen?

Een privacy officer is een persoon die toeziet op de omgang met persoonsgegevens binnen de organisatie en controleert of de organisatie voldoet aan de wet en eventuele andere toepasselijke regelgeving. Meestal is het een werknemer, maar de privacy officer mag ook extern aangesteld zijn (gedetacheerd of vanuit een ander bedrijf). Is hij een werknemer, dan heeft hij ontslagbescherming.

Naast toezicht heeft de privacy officer ook adviserende taken. Hij moet onder meer het personeel trainen en bijstaan bij vragen over privacy en persoonsgegevens. Tevens is hij het eerste aanspreekpunt voor de mensen wiens persoonsgegevens door zijn organisatie worden verwerkt, en hij zal dus ook met naam en contactgegevens in de privacyverklaring moeten staan.

De belangrijkste eis aan een privacy officer is dat deze onafhankelijk opereert en direct aan het hoogste management in de organisatie rapporteert. Alleen hiermee kunt u garanderen dat de privacy officer écht toeziet op wat er gebeurt en kan signaleren wat er mis dreigt te gaan. De privacy officer heeft echter geen vetorecht of bevoegdheid om in te grijpen, dit is uiteindelijk de taak van de directie. Maar een directie die advies van een privacy officer negeert, zal heel wat uit te leggen hebben als men achteraf de wet bleek te schenden met een verwerking van persoonsgegevens.

Aanstellen van een functionaris voor gegevensbescherming is verplicht in drie situaties: overheidsinstanties, instellingen die op grote schaal bijzondere persoonsgegevens (zoals gezondheid, religie of etnische afkomst) verwerken en instellingen die mensen stelselmatig volgen of observeren. Dit laatste criterium is het lastigst grijpbaar: het gaat niet alleen over detectivebureaus maar ook over organisaties en bedrijven die bijvoorbeeld via internet mensen volgen of interesseprofielen opbouwen. Wel moet dit dan deel van hun core business zijn, enkel statistieken over gebruik van uw website verzamelen betekent dus nog niet dat u een privacy officer nodig heeft.

Dit artikel is tot stand gekomen in samenwerking met PrivacyBlox en Arnoud Engelfriet, en is onderdeel van een twintigdelige blogreeks ter voorbereiding op de Algemene Verordening Gegevensbescherming.