We gebruiken cookies om content en advertenties te personaliseren, om sociale mediafuncties aan te bieden en om ons verkeer te analyseren. We delen ook informatie over uw gebruik van onze site met onze sociale media-, advertentie- en analysepartners, die deze kunnen combineren met andere informatie die u aan hen heeft verstrekt of die zij hebben verzameld op basis van uw gebruik van hun diensten.
Onze privacyverklaring:
Hieronder kunt u kiezen voor welke doeleinden u cookies op de website van De Clercq wilt toestaan.
De privacy officer moet volgens de Wbp voor de vervulling van diens taak over toereikende kennis beschikken en voldoende betrouwbaar worden geacht. Dit zal er op termijn waarschijnlijk toe leiden dat certificering, keurmerken en audits hun intrede gaan doen. Onder de AVG wordt de privacy officer aangewezen op grond van diens professionele kwaliteiten en in het bijzonder zijn deskundigheid op het gebied van de wetgeving en de praktijk van de gegevensbescherming, en zijn vermogen de in artikel 39 AVG beschreven taken te vervullen. Dit betekent dat de privacy officer iemand moet zijn met:
Het aanstellen van een jonge, pas afgestudeerde professional lijkt aldus geen serieuze optie voor deze functie.
Wanneer een privacy officer is aangesteld, moet deze door de verantwoordelijke bij de Autoriteit Persoonsgegevens(“AP”) worden gemeld, voordat de taken worden uitgeoefend. De AP houdt een register bij van privacy officers.
De privacy officer mag wel in dienst zijn van de verantwoordelijke, maar kan geen ‘aanwijzingen ontvangen’ van de verantwoordelijke. De privacy officer mag ook geen nadeel ondervinden van de uitoefening van zijn taak als privacy officer. Als de functie als privacy officer een parttime onderdeel is van de functie, mag de privacy officer geen last ondervinden van andere taken. Dat geldt zowel voor het tijdbeslag als voor mogelijke belangenconflicten. Ontslag of straffen voor de uitoefening van de taken als privacy officer zijn niet toegestaan. Het ligt voor de hand dat een intern statuut de exacte taken, de onafhankelijkheid, de beschikbare middelen en de toegang tot de noodzakelijke personen bevat.
De taak van de privacy officer is het houden van toezicht op de verwerking van persoonsgegevens overeenkomstig de toepasselijke regelgeving Dat geldt zowel voor de verantwoordelijke die de privacy officer heeft benoemd als de organisatie, waarbij de verantwoordelijken zijn aangesloten die de privacy officer hebben benoemd. De privacy officer kan aanbevelingen doen ter verbetering van de gegevensbescherming door de verantwoordelijke. De AVG noemt als eerste het informeren en adviseren van de verantwoordelijke en de werknemers. Daarnaast ook toezicht, toewijzing van verantwoordelijkheden op het gebied van bescherming van persoonsgegevens en bewustmaking en opleiding van het personeel. In geval van twijfel moet de privacy officer overleggen met de AP volgens de Wbp. Volgens de AVG geldt een generieke verplichting om met de AP samen te werken en om als centraal contactpersoon voor de AP te functioneren. Meer specifiek houdt de privacy officer ook toezicht op naleving van een gedragscode.
Ingevolge artikel 64, derde lid, Wbp moet de privacy officer beschikken over vergaande bevoegdheden die gelijkwaardig zijn aan de bevoegdheden van overheidstoezichthouders op basis van titel 5.2 Awb. Verkort weergegeven:
Deze bevoegdheden moeten weliswaar proportioneel worden uitgeoefend, maar eenieder is verplicht hieraan medewerking te verlenen.
Deze specifieke regeling betreffende bevoegdheden van de privacy officer lijkt onder de AVG te verdwijnen. Maar daarvoor in de plaats komt de verplichting voor de verantwoordelijke om de privacy officer te ondersteunen en alle relevante toegang tot gegevens en verwerkingen te geven.
Onder de Wbp is het aanstellen van een privacy officer niet verplicht. In drie gevallen is het onder de AVG namelijk verplicht een privacy officer te benoemen en dat moet derhalve op 25 mei 2018 geëffectueerd zijn:
De AVG laat ruimte voor de nationale wetgever om meer gevallen te benoemen, waarvoor de benoeming van een privacy officer verplicht is. Het Nederlandse ontwerp van de Uitvoeringswet AVG, die ter consultatie is gelegd, maakt hier verder geen melding van.
In de AVG is verder opgenomen dat een concern één privacy officer mag benoemen, onder de voorwaarde dat daarmee eenvoudig contact op te nemen is. Hetzelfde geldt voor verschillende overheidsorganisaties. Dit lijkt een pragmatische oplossing.
Waar benoeming van een privacy officer wettelijk is voorgeschreven, is het grootste voordeel natuurlijk dat u voldoet aan de wet en geen kans op een boete loopt, omdat u geen privacy officer heeft benoemd. Maar ook als dat niet wettelijk is voorgeschreven, kan de benoeming van een privacy officer aanzienlijke voordelen hebben:
Zowel in de Wbp als in de AVG staat dat de verantwoordelijkheid voor de naleving van de wettelijke regels bij de verantwoordelijke (of bewerker) blijft liggen. De privacy officer zal derhalve niet snel aansprakelijk kunnen zijn voor schade van de werkgever of opdrachtgever of van betrokkenen. Verder is er sprake van extra bescherming tegen sancties en ontslagbescherming. Maar nergens in de wet of de AVG staat uitdrukkelijk dat de privacy officer een beroep kan doen op civielrechtelijke of administratiefrechtelijke immuniteit. Een regeling als vervat in de Wet ter voorkoming van witwassen en financiering van terrorisme (te goeder trouw ongebruikelijke transacties melden leidt niet tot schadeplichtigheid) is ook niet volledig zaligmakend, maar lijkt hier voor de hand te liggen om de positie van de privacy officer beter te beschermen.
Wat gebeurt er nu als het management van een onderneming en de privacy officer van mening verschillen over de maatregelen die moeten worden genomen op het gebied van bescherming van persoonsgegevens of over de introductie of marketing van nieuwe producten of diensten? Of de privacy officer nu wel of niet in dienst is, uiteindelijk beslist de ondernemingsleiding wat er gebeurt. De privacy officer heeft echter twee mogelijke medestanders: intern de ondernemingsraad of personeelsvertegenwoordiging en extern de autoriteit persoonsgegevens. De privacy officer mag zowel de OR als de AP om steun vragen. Dit kan ertoe leiden dat de privacy officer bepaalde mededelingen doet aan een OR of de AP en daarbij rekening houdt met diens geheimhoudingsplicht. Dit betekent dat de privacy officer behalve over de hiervoor gememoreerde kwaliteiten ook moet beschikken over een zeer gezonde dosis eigendunk, standvastigheid, incasseringsvermogen en daarnaast diplomatiek moet kunnen opereren: met recht een schaap met vijf poten …
Heeft u vragen over dit artikel, neemt u dan contact op met ons team IT, Privacy & Cybersecurity.