shutterstock_1894553851

Het combineren van de Data Protection Officer (DPO), oftewel de Functionaris voor de Gegevensbescherming (FG), met andere functies/taken is regelmatig onderwerp van discussie. Dit heeft ook onze TÜV expert Nico gemerkt; zeker nu het ook tot boetes heeft geleid en er in de nieuwe privacystandaard ISO 27701 een vergelijkbare onafhankelijke privacyexpert is opgenomen. Nico gaat in dit artikel vanuit diverse perspectieven in op het aspect van de onafhankelijkheid van de privacyexpert en wat hierin wijsheid is.

Algemene Verordening Gegevensbescherming (AVG)

De FG is een in de AVG gedefinieerde functie. Voor sommige organisaties is de aanstelling van zo’n privacy expert verplicht, andere organisaties stellen deze vrijwillig aan omdat zij dat wenselijk achten. Zodra een FG (vrijwillig of verplicht) is aangesteld, zijn de bepalingen in de AVG (voornamelijk de artikelen 37 t/m 38) van toepassing. Zo ook dat de FG rechtstreeks rapporteert aan de hoogste leidinggevende van de organisatie en dat de taken/plichten van de FG niet tot een belangenconflict mogen leiden bij het uitvoeren van andere taken. Hieruit volgt dus dat de FG weldegelijk ook wat anders mag doen maar ook dat de onafhankelijke positie van de FG niet aangetast mag worden. Zowel de organisatie als de FG wordt hieraan herinnerd door de Autoriteit Persoonsgegevens (AP) bij aanmelding van de FG. We hebben het hier dus over een formeel bij de AP aangemelde FG.

Anders is het wanneer organisaties andersoortige privacyexperts aanstellen, vaak ‘privacy officer’ of 'privacy champ' genoemd. Hierop zijn de AVG-bepalingen dus niet van kracht. Met andere woorden, hoewel onafhankelijkheid daar nog steeds verstandig kan zijn, is die niet wettelijk verplicht vanuit de AVG.

ISO 27701 Privacy Information Management System (PIMS)

De nieuwe ISO-standaard voor privacymanagement (ISO 27701) stelt in §6.3.1.1 dat de organisatie een onafhankelijk expert aan moet stellen op het gebied van privacywet-/regelgeving die rechtstreeks rapporteert aan het passende managementniveau. Dit lijkt niet alleen erg op wat er in de AVG is opgenomen. Expliciet wordt opgemerkt dat deze onafhankelijke expert in bepaalde rechtsgebieden (lees: Europa) aangeduid wordt als FG.

Volledigheidshalve benadruk ik dat de onafhankelijke privacy expert in ISO 27701 niet gelijk is aan de FG. Hoewel gesteld kan worden dat een FG een prima invulling kan zijn van de ISO-beheersmaatregel om een onafhankelijke privacy expert aan boord te hebben, kan dit ook op andere wijze ingevuld worden. ISO 27701 verplicht organisaties dus niet om een FG aan te stellen, maar wel om een privacy expert te benoemen die onafhankelijk is. Dat is dus zowel het verschil als de brug tussen de internationale privacystandaard (ISO) en specifieke Europese privacywetgeving (AVG).

Een organisatie die vanuit de AVG (verplicht of vrijwillig) een FG aanstelt óf commitment geeft op de internationale privacystandaard ISO 27701, moet de onafhankelijkheid van de privacyexpert waarborgen. Meer weten over de ISO 27701? Neem contact op met de TÜV Expert.

Stel uw vraag aan onze expert

Conflicterende taken volgens de privacywaakhonden

De FG heeft een onafhankelijke positie. Nevenactiviteiten van een FG mogen dus niet tot een belangenconflict kunnen leiden. De Richtlijnen voor functionarissen voor gegevensbescherming van de European Data Protection Board (EDPB) stellen hierin dat de FG geen functie mag bekleden die de doelstellingen van en de middelen voor de verwerking van persoonsgegevens (mede) bepaalt. Als vuistregel wordt aangereikt dat in ieder geval functies in het hogere management (zoals Chief Executive, Chief Operating, Chief Financial, Chief Medical Officer, hoofd van de marketingafdeling, hoofd van Human Resources, of hoofd van de IT-afdeling) worden beschouwd als conflicterend.

In een recentere toelichting op de Positionering van de FG verscherpt de Autoriteit Persoonsgegevens (AP) dit door te stellen dat de FG niet namens de organisatie kan spreken en dat het ronduit is uitgesloten dat de FG functies vervult waarin (operationele) verantwoordelijkheid voor gegevensverwerkingen gedragen wordt. Hierbij worden functies als Hoofd Financiën, Strategie, Marketing, IT, HRM en Chief Information Security Officer (CISO) genoemd als voorbeelden.

De nog recentere Guide on Data Protection Officers van de Franse everknie (CNIL) wijkt hier niet vanaf maar benoemt de functies die in ieder geval conflicterend zijn net iets anders, namelijk: Managing Director, Chief Operating Officer, Chief Medical Officer, Marketing Department Manager, Human Resources Manager, en IT Department Manager.

Boetes

Dat de positionering van de FG op een wijze waardoor de onafhankelijkheid van de FG niet is geborgd tot boetes kan leiden, is ook al gebleken. Zo werd een Duitse organisatie al in 2016 beboet voor €50.000 voor het combineren van de rol van de FG met die van de IT Manager. Vorig jaar werd een Belgische bank geconfronteerd met een boete van €75.000 omdat de FG tevens manager was van drie afdelingen (Operational Risk Management, Information Risk Management department en Special Investigation Unit). Ook een Luxemburgse organisatie kreeg een boete van €15.000 voor het niet borgen van de onafhankelijkheid van de FG. 

Tot slot

Uit de AVG, de aanvullende richtlijnen, en boetes van privacywaakhonden kan opgemaakt worden dat de onafhankelijkheid van de FG afstand vereist t.o.v. de daadwerkelijke verantwoordelijkheid van de verwerking(en) van de persoonsgegevens. Hierbij zijn niet zozeer de functienamen bepalend maar de praktische invloed op het doel en de middelen van de verwerking(en) van de persoonsgegevens.

De meeste discussies die ik voorbij zie komen gaan over de combinatie van de FG met de CISO waarvan dus simpelweg gesteld kan worden dat deze afbreuk doet aan de onafhankelijkheid van de FG. Niet alleen omdat de EDPB, AP, en/of andere privacywaakhonden dat stellen en daarop handhaven, maar ook als je er inhoudelijk met gezond verstand naar kijkt, zou ik zeggen.
Steeds vaker zie ik dat de FG als staffunctie wordt gepositioneerd (in tegenstelling tot de CISO), waarin de directe rapportage naar het passende managementniveu (dan wel directie) wordt vormgegeven. Dit is een suggestie die ook door de privacywaakhonden wordt gemaakt overigens. Ook zie ik organisaties duidelijkheid verschaffen over waar de daadwerkelijke verantwoordelijkheid voor privacynaleving ligt (deze mag immers niet bij de FG liggen) door deze bij een Chief Privacy Officer (CPO) te beleggen. En ter borging van onafhankelijkheid wordt de FG regelmatig extern belegd, vooral bij relatief kleinere organisaties.

Verder merk ik op dat de beoordeling van naleving van de ISO-norm (in dit geval normelement §6.3.1.1) niet aan de EDPB, AP of andere privacywaakhonden is. Dit zal gedaan worden door gekwalificeerde lead auditors, bijvoorbeeld van TÜV NORD. Dat de bovenstaande interpretatie van 'onafhankelijkheid' hierin echter gevolgd wordt, ligt wel erg voor de hand. Temeer omdat ISO 27701 mede is ingegeven door de AVG en omdat de kwalificaties van de lead auditors kennis en expertise vereisen op het gebied van zowel de ISO-norm als ook de geldende privacywet- en regelgeving.

 

New Call-to-action

Onderwerpen:

Alle onderwerpen ISO 27001 informatiebeveiliging AVG ISO 27701 DPO FG

mail icons 2

Stel uw vraag over

Certificering van managementsystemen, keurmerken en andere schema's

Planning en service voor certificering

Customer Service Center Certificatie

TÜV Nederland