De DPO als privacy hoeder
De ‘Data Protection Officer’ als privacy hoeder (voor financiële instellingen)
In heel Europa bereiden financiële instellingen zich voor op de nieuwe EU Algemene Verordening Gegevensbescherming (AVG) die op 25 mei 2018 in werking treedt. De wet staat ook wel bekend als de EU General Data Protection Regulation (EU GDPR). De AVG, in het leven geroepen ter bescherming van persoonsinformatie van klanten en burgers in een groeiende digitale wereld, heeft een grote impact op de bestaande bedrijfsvoering. De wet geldt voor alle organisaties die persoonsgegevens verwerken en daarom uiteraard ook voor financiële instellingen. De Autoriteit Persoonsgegevens (AP) wordt steeds krachtiger en gaat hierop toezicht houden. De AP heeft de bevoegdheid hoge boetes op te leggen. Bovendien kunnen bestuurders hoofdelijk aansprakelijk worden gesteld bij niet naleving. Genoeg reden om actie te ondernemen dus!
Sommige gegevensverwerkingen brengen zelfs zoveel privacy- en informatiebeveiligingsrisico’s met zich mee, dat u verplicht bent een specifieke functionaris aan te wijzen die uw organisatie bijstaat in het interne toezicht op de naleving van de AVG. Dit is de ‘Functionaris Gegevensbescherming’ (FG), ofwel de ‘Data Protection Officer’ (DPO). Mits deze functie goed is ingeregeld en juist bemand, dan kan dit komende tijd weleens een heel waardevol bezit worden voor uw organisatie. De DPO kan uw organisatie zelfs behoeden voor incidenten, boetes, datalekken en bijbehorende reputatieschade.
Hieronder is door Stijn Sarneel, Managing Director van Lumen Group, een gespecialiseerde consultancy- en projectbureau op het terrein van privacy- en informatiebeveiliging, een introductie opgenomen over wat deze functie inhoudt. Ook is uitgewerkt in hoeverre een financiële instelling verplicht is een DPO aan te wijzen op basis van deze nieuwe regels.
DPO functie in context
De DPO kan gezien worden als een species van de bij veel financiële instellingen reeds aanwezige functie van Compliance Officer. De DPO richt zich daarbij specifiek op privacy- en informatiebeveiligings-vraagstukken en de implementatie van de AVG. De DPO zal er in veel organisaties niet alleen voor staan om de AVG te implementeren. Zo zal de DPO om zich heen projectmanagers, juristen, risk managers en auditors verzamelen om hiermee aan de slag te gaan komende tijd.
Alle afdelingen binnen een financiële instelling waar persoonsgegevens worden verwerkt krijgen met de AVG te maken. Dit geldt dus zowel voor de marketingafdeling, de financiële afdeling als de backoffice. De DPO zal dus veel verbindingen moeten gaan leggen om overzicht te krijgen waar persoonsgegevens worden verwerkt.
Taken en bevoegdheden van de DPO
De DPO heeft vanuit de AVG een aantal wettelijke taken en bevoegdheden gekregen om zijn functie te kunnen uitoefenen. Belangrijk element hierin is dat de DPO de business adviseert op het terrein van privacy- en informatiebeveiligingsvraagstukken en tegelijkertijd hierop toezicht houdt. Om effectief te zijn is de uitdaging van de DPO om een balans te vinden tussen de rol van ‘trusted advisor’ en interne toezichthouder.
Om de functie kracht bij te kunnen zetten en de functionaris als ‘countervailing power’ te kunnen laten optreden, voorziet de AVG in een vorm van ontslagbescherming voor de DPO. Deze bescherming is enigszins vergelijkbaar met die van een MR lid. Daarnaast dient de functie van de DPO op zodanige wijze te zijn ingericht dat deze op onafhankelijke wijze kan opereren en kan rapporteren aan de hoogste leidinggevende binnen een organisatie.
De DPO zal onder meer betrokken zijn bij de uitvoering van Privacy Impact Analyses (PIA’s) en het in kaart brengen van een register van alle verwerkingsactiviteiten van persoonsgegevens. Daarnaast heeft hij als uitdagende taak een cultuur te kweken waarin integere gegevensverwerking en transparantie centraal staat. Te denken valt hierbij aan het geven van opleidingen, trainingen en workshops. Ook zal hij controleren of voldoende invulling wordt gegeven aan de nieuwe rechten van burgers en klanten om zijn/haar persoonsgegevens: te vergeten (‘right to be forgotten’), over te dragen en/of in te zien. De toestemmingsvereisten uit de AVG om persoonsgegevens te mogen verwerken (opt-in) vragen ook aandacht.
Wettelijke verplichting uit de AVG
De AVG zegt dat een DPO verplicht is daar waar organisaties in hun kernactiviteiten zijn belast met verwerkingen die vanwege hun aard, omvang en/of doeleinden regelmatige en stelselmatige observatie op grote schaal vereisen van betrokkenen (o.a. burgers / klanten). Ook daar waar grootschalige verwerking van bijzondere (gevoelige) persoonsgegevens, zoals gezondheidsgegevens en strafrechtelijke gegevens, onderdeel is van de kernwerkzaamheden, is een DPO verplicht.
Deze regels bevatten allerlei abstracte begrippen. Vragen die onmiddellijk rijzen bij het lezen van deze regels zijn: wat zijn ‘kernactiviteiten’ en wat is een ‘grootschalige verwerking? Om duidelijk te krijgen wat dit concreet betekent behoeft dit nog interpretatie komende tijd.
Er is door een Europese werkgroep (Working Party Art. 29) een richtlijn uitgegeven met verdere interpretaties over de DPO functie waarin ook wordt ingegaan op deze abstracte begrippen. Duidelijk is in ieder geval dat banken en verzekeraars die op reguliere basis persoonsgegevens verwerken vallen onder het criterium van een grootschalige verwerking. Financiële instellingen die bijvoorbeeld internetgebruik volgen en op basis daarvan profileren of instellingen die witwassen detecteren en/of betalingsgedrag monitoren, zullen ook al snel onder de verplichting vallen van het aanstellen van een DPO.
Ondanks deze relatieve onduidelijkheid komende tijd, blijft het desalniettemin een verplichting voor financiële instellingen om, daar waar dat op basis van de criteria nodig is, per 25 mei 2018 een dergelijke functionaris aan te stellen. Ook als er geen DPO nodig is naar de eigen beoordeling, dan dient dit samen met de redenen hiervoor gedocumenteerd te worden. Sowieso is er dus werk aan de winkel!
De AVG strekt zich niet alleen uit tot de financiële instellingen maar ook tot verwerkers van uw persoonsgegevens in uw klantketen en bij uw uitbestedingspartijen. Ook zij moeten zich afvragen of er wel of niet een DPO verplicht is bij het verwerken van de persoonsgegevens die zij namens uw instelling verwerken.
Los van de vraag of een DPO wettelijk verplicht is, is het op basis van de AVG ook mogelijk op vrijwillige basis een DPO aan te wijzen. Het is raadzaam dit te doen omdat dit zorgt voor voldoende en structurele aandacht voor privacy en informatiebeveiliging. Het levert een belangrijke bijdrage aan de eis om aantoonbaar te maken dat de organisatie compliant is. Dit zowel richting klanten, maar ook naar externe stakeholders zoals samenwerkingspartijen in de keten en richting de AP als toezichthouder. Overigens hebben veel grote financiële instellingen reeds een DPO aangewezen.
Vinden van de juiste DPO
Als het duidelijk is dat een DPO nodig of verplicht is dan dient de juiste persoon voor de functie te worden gevonden. Om deze functie goed te kunnen uitoefenen moet de DPO minimaal verstand hebben van IT, business (processen) en juridisch onderlegd te zijn en kennis en ervaring hebben. Ook moet de DPO beschikken over de juiste competenties zoals inlevingsvermogen en moed. Eigenlijk wordt een soort schaap met vijf poten gezocht. Zonder dat dit een blatend schaap is waar niemand naar luistert omdat deze niet de verbinding met mensen kan maken.
Intern zijn deze personen vaak best lastig te vinden. Partijen mogen er op basis van de AVG er ook voor kiezen om een externe DPO aan te stellen of zelfs voor een soort (abonnements)service te kiezen.
Wilt u advies over de inrichting van de DPO, de AVG of de implementatie hiervan? Zoekt u mogelijk een geschikte (externe) DPO? Neem dan contact op met Lumen Group.
