16 december 2016 heeft de Artikel 29-werkgroep drie richtlijnen gepubliceerd ter verduidelijking van een drietal begrippen uit de Algemene Verordening Gegevensbescherming (AVG). De AVG is de nieuwe privacywetgeving vanaf 25 mei 2018 en zal de huidige Wet bescherming persoonsgegevens vervangen. In dit artikel wil ik graag de richtlijn Data protection officer uitleggen. De Artikel 29-werkgroep (WP29) is het onafhankelijke advies- en overlegorgaan van Europese privacytoezichthouders. WP29 bestaat uit de nationale privacytoezichthouders van de lidstaten van de Europese Unie en de European Data Protection Supervisor (EDPS).
Verplicht
Het instellen van een Data protection officer (nader te noemen: DPO) wordt voor sommige organisaties verplicht, zoals volgt uit artikel 37 AVG. Namelijk wanneer de verwerking wordt verricht door een overheidsinstantie of -orgaan en voor organisaties die hoofdzakelijk belast zijn met gegevensverwerkingen, die op grote schaal regelmatige en stelselmatige observatie van betrokkenen vereisen of wanneer een organisatie hoofdzakelijk is belast met de verwerking van bijzondere persoonsgegevens op grote schaal. Maar wanneer is een DPO nou écht verplicht?
Richtlijn Data protection officer
De richtlijn Data protection officer probeert duidelijkheid te scheppen over de vraag wanneer een DPO nu wel of niet verplicht is. Vanzelfsprekend kunnen organisaties, die niet door de wet verplicht worden om een DPO aan te stellen, een DPO aanstellen. Het advies van WP29 is om een document op te stellen met de overwegingen. Een organisatie moet namelijk het wel of niet aanstellen van een DPO kunnen beargumenteren ten overstaan van de Autoriteit Persoonsgegevens. De richtlijn geeft uitleg aan overheidsinstantie of -orgaan en de begrippen hoofdzakelijk, op grote schaal en regelmatige en stelselmatige observatie.
Overheidsinstantie of -orgaan
De AVG geeft geen beschrijving van het begrip overheidsinstantie of overheidsorgaan. De beschrijving wordt bepaald door nationale wetgeving. Aldus WP29 vallen private organisaties die publieke taken uitvoeren ook onder overheidsinstanties of -organen. ICTrecht geeft de volgende voorbeelden: openbare vervoersdiensten, water- en energieleveranciers, de publieke omroep en een stichting ter volkshuisvesting. Wanneer een private organisatie een DPO aanstelt, moet deze betrekking hebben op alle verwerkingen, dus ook de verwerkingen die geen verband houden met de uitvoering van een publiekrechtelijke taak.
Hoofdzakelijk
De term hoofdzakelijk ziet op de ‘core activities’ van een organisatie, de kerntaak die noodzakelijk is voor de uitoefening van de hoofdactiviteit van een organisatie. WP29 draagt als voorbeeld een ziekenhuis aan. Het hoofddoel is het verschaffen van gezondheidszorg, maar dat gaat niet zonder de verwerking van persoonlijke data, zoals gezondheidsgegevens van patiënten.
Op grote schaal
De AVG definieert ‘op grote schaal’ niet. De WP29 noemt geen concreet aantal wat moet worden verstaan onder gegevensverwerking ‘op grote schaal’. De volgende factoren spelen een rol bij het bepalen of verwerking op grote schaal wordt uitgevoerd: het aantal betrokkenen, de inhoud van de gegevens (welke gegevens er worden verwerkt), de duur van de gegevensverwerking en geografische omvang. WP29 geeft een aantal voorbeelden van organisaties die gegevens op grote schaal verwerken, zoals ziekenhuizen, openbare vervoerders, verzekeringsmaatschappijen, banken, zoekmachines en telecom- en internetproviders.
Regelmatige en stelselmatige observatie
Er kan worden gesproken van ‘regelmatige en stelselmatige observatie’ wanneer er ‘doorlopend, op vaststaande termijnen of tijden, herhaaldelijk, constant of periodiek’ persoonsgegevens worden verwerkt op ‘systematische, planmatige, georganiseerde, strategische of methodische wijze’. Bijvoorbeeld telecommunicatie netwerken (e-mail etc.), een fitness- of gezondheidsapp en een slimme thermosstaat.
De DPO
De Data protection officer moet deskundig, professioneel en in staat zijn om zijn taak te vervullen. Wanneer een organisatie veel gevoelige of complexe data heeft, zal de DPO een hoger niveau van deskundigheid moeten hebben. De DPO moet daarnaast inzicht hebben in de organisatie en in de verwerkingen. De DPO kan een medewerker van een organisatie zijn maar ook een externe kracht. In dat laatste geval werkt hij op basis van een dienstverleningscontract. De DPO moet zodanig gepositioneerd zijn in de organisatie dat hij of zij toegang heeft tot alle data. Hij of zij zal in vroegtijdig stadium betrokken moeten worden bij privacy-gerelateerde vraagstukken. De DPO zal veelal advies uitbrengen en ondersteuning bieden bij impact assessments.
Bron: Riskworld, Guidelines on Data Protection Officers, ICTrecht, Autoriteit Persoonsgegevens