Privacy Officer gezocht: het schaap met 5 poten nader bekeken

Volgens de Wbp zijn privacy officers altijd natuurlijke personen. Deze persoon hoeft niet in dienst van de verantwoordelijke¹ te zijn, maar het aangaan van alleen een overeenkomst met een dienstverlener in de vorm van een stichting of een besloten vennootschap is in ieder geval niet voldoende: er moet ook een natuurlijke persoon worden benoemd. In de AVG staat nergens dat de privacy officer een natuurlijke persoon zou moeten zijn. Uit de bewoordingen van de AVG kan dat wel worden afgeleid en de artikel-29-Werkgroep lijkt daar ook stilzwijgend van uit te gaan.

De privacy officer moet volgens de Wbp voor de vervulling van diens taak over toereikende kennis beschikken en voldoende betrouwbaar worden geacht. Dit zal er op termijn waarschijnlijk toe leiden dat certificering, keurmerken en audits hun intrede gaan doen. Onder de AVG wordt de privacy officer aangewezen op grond van diens professionele kwaliteiten en  in het bijzonder zijn deskundigheid op  het gebied van de wetgeving en de praktijk van de gegevensbescherming, en zijn vermogen de in artikel 39 AVG beschreven taken te vervullen. Dit betekent dat de privacy officer iemand moet zijn met:

• Gespecialiseerde, juridische kennis;
• Kennis en ervaring op het gebied van organisatorische en technische beveiligingsmaatregelen;
• Betrouwbaarheid (integriteit en geheimhouding); in de AVG staat een specifieke geheimhoudingsplicht voor de privacy officer.
• Kennis en ervaring op het gebied van (geautomatiseerde) gegevensverwerking en encryptie, de organisatie waarvoor deze werkzaam is en de industrie waarin deze organisatie actief is; en
• Voldoende ervaring in contacten met toezichthouders in het algemeen en de AP in het bijzonder.

Het aanstellen van een jonge, pas afgestudeerde professional lijkt aldus geen serieuze optie voor deze functie.

Wanneer een privacy officer is aangesteld, moet deze door de verantwoordelijke bij de Autoriteit Persoonsgegevens(“AP”) worden gemeld, voordat de taken worden uitgeoefend. De AP houdt een register bij van privacy officers.

De privacy officer mag wel in dienst zijn van de verantwoordelijke, maar kan geen ‘aanwijzingen ontvangen’ van de verantwoordelijke. De privacy officer  mag ook geen nadeel ondervinden van de uitoefening van zijn taak als privacy officer. Als de functie als privacy officer een parttime onderdeel is van de functie, mag de privacy officer geen last ondervinden van andere taken. Dat geldt zowel voor het tijdbeslag als voor mogelijke belangenconflicten. Ontslag of straffen voor de uitoefening van de taken als privacy officer zijn niet toegestaan. Het ligt voor de hand dat een intern statuut de exacte taken, de onafhankelijkheid, de beschikbare middelen en de toegang tot de noodzakelijke personen bevat.

De taak van de privacy officer is het houden van toezicht op de verwerking van persoonsgegevens overeenkomstig de toepasselijke regelgeving Dat geldt zowel voor de verantwoordelijke die de privacy officer heeft benoemd als de organisatie, waarbij de verantwoordelijken zijn aangesloten die de privacy officer hebben benoemd. De privacy officer kan aanbevelingen doen ter verbetering van de gegevensbescherming door de verantwoordelijke. De AVG noemt als eerste het informeren en adviseren van de verantwoordelijke en de werknemers. Daarnaast ook toezicht, toewijzing van verantwoordelijkheden op het gebied van bescherming van persoonsgegevens en bewustmaking en opleiding van het personeel. In geval van twijfel moet de privacy officer overleggen met de AP volgens de Wbp. Volgens de AVG geldt een generieke verplichting om met de AP samen te werken en om als centraal contactpersoon voor de AP te functioneren. Meer specifiek houdt de privacy officer ook toezicht op naleving van een gedragscode.

Ingevolge artikel 64, derde lid, Wbp moet de privacy officer beschikken over vergaande bevoegdheden die gelijkwaardig zijn aan de bevoegdheden van  overheidstoezichthouders op basis van titel 5.2 Awb. Verkort weergegeven:

• het betreden van plaatsen, en het onderzoeken van zaken;
• het vorderen van inlichtingen en inzage in zakelijke gegevens en bescheiden (en daarvan kopieën te maken);
• inzage vorderen in identiteitsbewijzen;
• vervoermiddelen, die aan zijn toezicht zijn onderworpen te onderzoeken.

Deze bevoegdheden moeten weliswaar proportioneel worden uitgeoefend, maar eenieder is verplicht hieraan medewerking te verlenen.

Deze specifieke regeling betreffende bevoegdheden van de privacy officer lijkt onder de AVG te verdwijnen. Maar daarvoor in de plaats komt de verplichting voor de verantwoordelijke om de privacy officer te ondersteunen en alle relevante toegang tot gegevens en verwerkingen te geven.

Onder de Wbp is het aanstellen van een privacy officer niet verplicht. In drie gevallen is het onder de AVG namelijk verplicht een privacy officer te benoemen en dat moet derhalve op 25 mei 2018 geëffectueerd zijn:

• voor alle overheidsinstanties (die persoonsgegevens verwerken);
• waar de kernactiviteiten van de verantwoordelijke of de bewerker² bestaan uit werkzaamheden, die regelmatige en systematische observatie van betrokkenen op een grote schaal vergen (denk aan particuliere beveiligingsbedrijven, data analytics etc.); of
• waar de kernactiviteiten van de verantwoordelijke of de bewerker de verwerking van bijzondere persoonsgegevens vergen of persoonsgegevens betreffende strafrechtelijk relevante gegevens (bijvoorbeeld bureaus die pre-employment- of intengriteitsscreeningen uitvoeren).

De AVG laat ruimte voor de nationale wetgever om meer gevallen te benoemen, waarvoor de benoeming van een privacy officer verplicht is. Het Nederlandse ontwerp van de Uitvoeringswet AVG, die ter consultatie is gelegd, maakt hier verder geen melding van.

In de AVG is verder opgenomen dat een concern één privacy officer mag benoemen, onder de voorwaarde dat daarmee eenvoudig contact op te nemen is. Hetzelfde geldt voor verschillende overheidsorganisaties. Dit lijkt een pragmatische oplossing.

Waar benoeming van een privacy officer wettelijk is voorgeschreven, is het grootste voordeel natuurlijk dat u voldoet aan de wet en geen kans op een boete loopt, omdat u geen privacy officer heeft benoemd. Maar ook als dat niet wettelijk is voorgeschreven, kan de benoeming van een privacy officer aanzienlijke voordelen hebben:

1. Een centraal aanspreekpunt voor alle vragen over privacy binnen uw organisatie heeft toegevoegde waarde in een samenleving, waarin digitalisering en de risico’s van te lage privacybescherming toenemen. Hoewel de privacy officer niet persoonlijk verantwoordelijk wordt voor de naleving van de regels, zal deze wel zijn best doen naleving te stimuleren en daarvoor over de broodnodige bevoegdheden moeten beschikken. Dit voorkomt ook nodeloze inefficiency, als mensen niet weten waar ze terecht moeten.
2. Onder de Wbp is het niet nodig verwerkingen van persoonsgegevens te melden bij de AP, indien een privacy officer benoemd is. Deze uitzondering geldt echter niet, wanneer sprake is van een noodzakelijk vooronderzoek door de AP. Het voert hier te ver om in te gaan op alle vereisten voor een vooronderzoek, maar verwerking van BSN-nummers, strafrechtelijk relevante gegevens of het verzamelen van persoonsgegevens zonder de desbetreffende persoon te informeren geven in ieder geval aanleiding tot het inwinnen van deskundig advies. Bedenk wel dat ook als geen ‘noodzakelijk vooronderzoek’ gedaan hoeft te worden, een privacy impact assessment en deugdelijke centrale registratie van de verwerking is vereist.
3. De kwaliteit van de compliance-functie gaat vooruit, waarmee uw organisatie aan maatschappelijk vertrouwen wint. Dit levert voor commerciële organisaties een concurrentievoordeel op.

Zowel in de Wbp als in de AVG staat dat de verantwoordelijkheid voor de naleving van de wettelijke regels bij de verantwoordelijke (of bewerker) blijft liggen. De privacy officer zal derhalve niet snel aansprakelijk kunnen zijn voor schade van de werkgever of opdrachtgever of van betrokkenen. Verder is er sprake van extra  bescherming tegen sancties en ontslagbescherming. Maar nergens in de wet of de AVG staat uitdrukkelijk dat de privacy officer een beroep kan doen op civielrechtelijke of administratiefrechtelijke immuniteit. Een regeling als vervat in de Wet ter voorkoming van witwassen en financiering van terrorisme (te goeder trouw ongebruikelijke transacties melden leidt niet tot schadeplichtigheid) is ook niet volledig zaligmakend, maar lijkt hier voor de hand te liggen om de positie van de privacy officer beter te beschermen.

Wat gebeurt er nu als het management van een onderneming en de privacy officer van mening verschillen over de maatregelen die moeten worden genomen op het gebied van bescherming van persoonsgegevens of over de introductie of marketing van nieuwe producten of diensten? Of de privacy officer nu wel of niet in dienst is, uiteindelijk beslist de ondernemingsleiding wat er gebeurt. De privacy officer heeft echter twee mogelijke medestanders: intern de ondernemingsraad of personeelsvertegenwoordiging en extern de autoriteit persoonsgegevens. De privacy officer mag zowel de OR als de AP om steun vragen. Dit kan ertoe leiden dat de privacy officer bepaalde mededelingen doet aan een OR of de AP en daarbij rekening houdt met diens geheimhoudingsplicht.  Dit betekent dat de privacy officer behalve over de hiervoor gememoreerde kwaliteiten ook moet beschikken over een zeer gezonde dosis eigendunk, standvastigheid, incasseringsvermogen en daarnaast diplomatiek moet kunnen opereren: met recht een schaap met vijf poten …

Is uw privacybeleid toereikend geformuleerd en geïmplementeerd? Voldoet uw organisatie aan alle verplichtingen van de Wbp en bent u tijdig voorbereid op de invoering van de AVG, zodat u per 25 mei 2018 in overeenstemming daarmee handelt? Heeft u de juiste instelling? Neem vrijblijvend contact met ons op om te bekijken hoe wij – of andere adviseurs, waarmee wij goede ervaringen hebben – u verder kunnen helpen bij het vergroten van het maatschappelijk vertrouwen in uw organisatie.

Heeft u vragen over dit artikel, neemt u dan contact op met ons team IT, Privacy & Cybersecurity.