Print:

DPO/FG is een schaap met zes poten

Ferry Waterkamp , Journalist

LinkedIn profiel

Veel organisaties moeten vanaf 25 mei 2018 beschikken over een Data Protection Officer. Deze ‘Functionaris Gegevensbescherming’ houdt binnen de organisaties toezicht op de toepassing en naleving van de Algemene Verordening Gegevensbescherming (AVG). “Die persoon moet wel heel stevig in zijn schoenen staan”, waarschuwt Miranda Top-Sarneel, advocaat-medewerker bij Ploum Lodder Princen.

Top-Sarneel adviseert grote organisaties onder andere over privacyrechtelijke issues die bijvoorbeeld te maken hebben met de AVG. Op 16 mei zal ze tijdens het IIR-congres ‘Voorbereidingen AVG’ ingaan op de taken en verzwaarde rol van de ‘Data Protection Officer’, en hoe organisaties hier invulling aan kunnen geven. “Een vraag die ik hoop te beantwoorden, is of de DPO één persoon moet zijn, of dat (en hoe) de taken ook in een groep kunnen worden belegd.”

Veelzijdige functie

De verplichting om een DPO aan te stellen, geldt voor overheidsinstanties, bedrijven die het observeren van personen als kernactiviteit hebben en organisaties die op grote schaal bijzondere persoonsgegevens verwerken. Organisaties die een DPO moeten aanstellen, doen er verstandig aan om hier snel werk van te maken. “Het is lastig om de juiste mensen te vinden”, aldus Top-Sarneel.

Top-Sarneel ziet dat organisaties de rol van DPO nu echter op verschillende manieren invullen. “Je ziet bedrijven waar de Chief Privacy Officer ook de DPO is, maar dat lijkt me wat veel voor één persoon.” Volgens Top-Sarneel moet de DPO namelijk van heel veel markten thuis zijn. “Het is een schaap met zes poten dat onder andere kennis moet hebben van IT, databeveiliging, changemanagement, juridische zaken en communicatie en sterk in zijn schoenen moet staan.”

Omdat dergelijke ‘schapen met zes poten’ moeilijk zijn te vinden, adviseert bijvoorbeeld de Vereniging van Nederlandse Gemeenten (VNG) om de rol van de DPO te beleggen in een team. “Je hebt dan een wettelijk persoon die formeel het toezicht houdt, maar bepaalde taken van de DPO worden ingevuld door bijvoorbeeld de privacy-officer en de Chief Information Security Officer”, legt Top-Sarneel uit. “Het is nu echter nog onduidelijk of dit wel mag. De AVG lijkt er vanuit te gaan dat de DPO één persoon is die zich kan beroepen op onafhankelijkheid. Alleen de formele DPO geniet ontslagbescherming bij het uitvoeren van zijn of haar taken.”

Guidance nodig

Top-Sarneel is zelf voorstander van een derde variant waarbij de DPO wordt omringd door een werkgroep of ‘privacy committee’ waar de DPO zelf de voorzitter van is. In die constructie moet de DPO de ‘verbinder’ zijn die zelf diepgaande kennis heeft van de wet- en regelgeving en weet wanneer er sprake is van een privacyrisico. “Maar het blijft lastig om een dergelijk persoon te vinden, en om te bepalen wat hij of zij dan moet kunnen. Het wordt tijd dat daar vanuit de Autoriteit Persoonsgegevens meer guidance over komt.”

AVG IIR

Meer weten over hoe u zich voorbereidt op de AVG? Bezoek dan op 16 mei het IIR-congres ‘Voorbereidingen Algemene Verordening Gegevensbescherming’. Advocaat Miranda Top-Sarneel verzorgt op deze dag een break-outsessie over de taken en de rol van de Functionaris Gegevensbescherming.