Column


IT-jurist Peter van Schelven over…

De verplichte privacy-officer: nieuw voor u?

Met de recente komst van de nieuwe Europese Privacy-verordening krijgt iedere organisatie die persoonsgegevens opslaat, bewaart, host of anderszins verwerkt te maken met een reeks nieuwe verplichtingen. De verordening – die officieel de naam Algemene Verordening Gegevensbescherming draagt – is in wezen een Europese wet waaraan organisaties in de Europese Unie uiterlijk 25 mei 2018 moeten voldoen. Reeds nu al zijn organisaties uit de publieke en private sfeer bezig met de voorbereiding van de organisatorische implementatie van de nieuwe spelregels. Voor wie dat nog niet doet, is het verstandig zich op korte termijn te oriënteren op de vraag wat er op het gebied van de omgang met persoonsgegevens zoal verandert.

Een van de wijzigingen betreft de regeling waarmee een verplichting tot het aanstellen van een privacy-officer – een zogeheten ‘Functionaris voor Gegevensbescherming’ – in het leven is geroepen. De gedachte achter deze regeling is dat de bescherming van de privacy wordt versterkt als er binnen organisaties wettelijke taken en verantwoordelijkheden worden belegd bij iemand met professionele kwaliteiten en expertise op het gebied van de wetgeving en de praktijk van de verwerking van persoonsgegevens. De privacy-officer wordt onder de verordening geacht een adviserende, informerende, uitvoerende en verbindende rol te vervullen. Hij of zij bewaakt bovendien de ‘compliancy’ en dat vergt een kritische attitude. Juist daarom geeft de Europese verordening aan de verplichte privacy-officer extra ontslagbescherming.

Voor wie?
De eerste vraag die zich uiteraard aandient, is of de nieuwe verplichting tot aanstelling ook voor uw organisatie geldt. Tijdens de behandeling van het ontwerp van de verordening in Brussel is de kring van organisaties voor wie de verplichting tot benoeming van een privacy-officer geldt, aanzienlijk uitgekleed. Zo is het aanvankelijke plan om de verplichting te laten gelden voor alle bedrijven met een minimum aantal werknemers geheel losgelaten. Ook het idee de verplichting te koppelen aan een minimum aantal persoonsgegevens dat binnen organisaties wordt verwerkt, heeft de eindstreep niet gehaald.

Momenteel geldt de verplichting tot aanstelling van een privacy-officer voor slechts drie categorieën organisaties. Ten eerste zijn dat alle overheidsinstanties, met uitzondering van gerechtelijke instanties. Logisch, want u en ik kunnen ons – anders bij de bedrijven met wie we in zee gaan – niet onttrekken aan de overheid. Dat betekent dus dat alle departementen, gemeenten, provincies en dergelijke - hoe groot of klein dan ook - op zoek moeten naar een privacy-officer. Vooral kleinere gemeenten hebben zo’n functionaris vaak nog niet in huis.

De verplichting geldt ten tweede ook voor private organisaties die zich als kerntaak op grote schaal bezighouden met ‘ regelmatige en stelselmatige observatie’ van burgers. Daarbij kan worden gedacht aan cameraobservaties.

Bijzondere gegevens
De derde categorie betreft organisaties die als hoofdtaak hebben om grootschalig bijzondere soorten persoonsgegevens te verwerken, zoals raciale, godsdienstige, levensbeschouwelijke medische, genetische, biometrische of seksuele gegevens. Ook als grootschalig strafrechtelijke gegevens worden opgeslagen of verwerkt geldt de verplichting tot aanstelling van een privacy-officer. De verordening laat zich helaas niet uit over wanneer precies sprake is van grootschaligheid, wat bij deze derde categorie een juridisch relevant criterium is. Het is een van de vele onduidelijkheden in de verordening. Maar aangenomen kan wel worden dat bijvoorbeeld een advocatenkantoor dat veel strafdossiers in de kast heeft staan, buiten de regeling valt.

Deze drie categorieën staan nu in de verordening opgesomd, maar de lijst mag in ons land nog worden uitgebouwd door de Autoriteit Persoonsgegevens. Of dat gaat gebeuren is nu nog koffiedik kijken.

Belangenconflicten
Voor ogen moet worden gehouden dat de privacy-officer een personeelslid uit de eigen organisatie kan zijn, maar ook iemand die op contractuele basis wordt ingehuurd. Die laatste optie is misschien nog niet zo’n gek idee. In de praktijk kan de privacy-officer immers voor lastige morele en juridische dilemma’s komen te staan als zijn of haar functie gecombineerd wordt met andere functies binnen de eigen organisatie. Er is niet veel fantasie voor nodig om te bedenken dat de marketingmanager van een farmaceutisch bedrijf die tevens de functie van privacy-officer vervult, al snel in lastige belangenconflicten terecht kan komen. De verordening verbiedt dergelijke combinaties als zodanig niet, maar makkelijk wordt dat in de praktijk niet. Dus, naast de vraag of je als organisatie verplicht bent een privacy-officer aan te wijzen, doe je er ook goed aan zorgvuldig om te gaan met de positionering van de functie binnen de organisatie.


Lees meer over