Met de invoering van de nieuwe Europese verordening of Algemene Verordening Gegevensbescherming (AVG of GDPR) wordt de soms verplichte Functionaris Gegevensbescherming (FG) of Data Protection Officer (DPO) steeds vaker genoemd. Maar wat zijn nou eigenlijk de verschillen en overeenkomsten?
Juridisch gezien is er geen verschil tussen een FG of een DPO. DPO is de Engelse term voor een functionaris bescherming van persoonsgegevens. Een DPO ziet toe op de naleving van de privacyregelgeving in een organisatie, net als een FG. De nieuwe wet is in het Engels opgesteld en daarom wordt er tegenwoordig gesproken over een DPO als men een FG bedoelt.
Oorspronkelijke FG
De rol van FG werd traditioneel gezien door een jurist of iemand met een juridische achtergrond ingevuld. Dat komt door de manier waarop bedrijven en instellingen de Wet bescherming persoonsgegevens (Wbp) hebben geïmplementeerd en geïnterpreteerd. Vaak wordt een FG geassocieerd met een “stevige” jurist. In 14 juli 2004 stond in de Staatscourant de volgende mededeling over de taken en bevoegdheden van een FG bij OCW:
“De functionaris voor de gegevensbescherming heeft naast het houden van toezicht overeenkomstig het bij en krachtens de wet bepaalde tot taak het in voorkomende gevallen geven van advies aan de minister alsmede het doen van aanbevelingen aan de minister, als bedoeld in artikel 15 van deze regeling.
De functionaris voor de gegevensbescherming is bevoegd zaken te onderzoeken. Hij is bevoegd daartoe verpakkingen te openen. Als het onderzoek niet ter plaatse kan geschieden, is hij bevoegd de zaken voor dat doel voor korte tijd mee te nemen tegen een door hem af te geven schriftelijk bewijs. De beheerder wordt zo spoedig mogelijk in kennis gesteld van de resultaten van het onderzoek.
De functionaris voor de gegevensbescherming kan rechtstreeks aanbevelingen doen aan de minister die strekken tot een betere bescherming van de gegevens die worden verwerkt. In gevallen van twijfel overlegt hij met het College bescherming persoonsgegevens.”
De FG’s met deze traditionele achtergrond kunnen soms met enige moeite invulling geven aan de nieuwe rol onder de AVG.
Moderne DPO
Wat is er veranderd in de nieuwe wetgeving (AVG), waardoor de rol van een traditionele FG niet meer voldoende invulling geeft?
Een DPO moet volgens de nieuwe regelgeving privacy- en dataprotectiebeleid ontwikkelen, onderhouden en documenteren. Ook houdt hij toezicht over het proces. In de praktijk betekent dit:
- privacy-impactanalyses uitvoeren, faciliteren of begeleiden;
- inclusief de analyse- en impactassessment van third party processing, apps, clouddiensten en internet of things;
- verantwoordelijkheid voor het “melding datalek proces”;
- verantwoordelijkheid voor de implementatie van de AVG binnen de organisatie.
Een DPO is dus een expert in IT/Security/Informatiemanagement en specialist op gebied van privacywetgeving voor de gehele organisatie.
Praktijkervaring
In de praktijk wordt de rol van een DPO ingevuld door een persoon met meerdere kennisgebieden: organisatie- en informatiemanagement, IT en security. Een DPO is meer dan alleen een jurist. Een DPO heeft naast de “traditionele taken” van een FG de taak om verbinding te maken tussen de bovengenoemde kennisgebieden binnen de afdelingen.
DPO as a service via Inergy?
Volgens de wet is mogelijk om een DPO of FG vanuit een externe organisatie aan te stellen, omdat een DPO van Inergy formeel geen deel uitmaakt van jouw organisatie of instelling, kunnen wij met onze experts, deskundig en onafhankelijk de processen binnen jouw organisatie beoordelen, en de rol van de onafhankelijke DPO as a service invullen.