Volgend jaar treedt de Algemene Verordening Gegevensbescherming in werking. Een van gevolgen daarvan zal zijn dat veel internetondernemingen een zogeheten ‘functionaris voor de gegevensbescherming’ of ‘data protection officer’ (m/v) moeten benoemen. Dat is iemand die binnen de organisatie waarvoor hij is benoemd optreedt als onafhankelijk toezichthouder op toepassing van privacy- en gegevensbeschermingsregels.
Wanneer is een functionaris verplicht?
Een functionaris wordt onder andere verplicht als er sprake is van het stelselmatig observeren van internetgebruikers op grote schaal, 1 wat bijvoorbeeld gebeurt als gedragingen van internetgebruikers op een website of app worden gevolgd en bijgehouden. Er kan daarom wel vanuit worden gegaan dat er een grote vraag zal zijn naar dergelijke functionarissen. 2
Wie komen er in aanmerking om te worden benoemd als functionaris?
In de verordening staat dat een functionaris wordt aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen om de hem of haar opgedragen taken te vervullen. Een en ander laat nogal wat interpretatieruimte. En dat vergroot het risico dat er functionarissen worden benoemd die daarvoor niet zonder meer geschikt zijn.
Toetsing van functionaris
Wat daarom nuttig lijkt is een systematiek waarbij de benoeming van een functionaris kan worden getoetst. Wie zou dat moeten doen? Voor de hand ligt wellicht dat een beroepsorganisatie van functionarissen dat gaat doen. De organisatie die in Nederland het dichtst daarbij in de buurt komt is het Nederlands Genootschap van Functionarissen voor de Gegevensbescherming of NGFG. 3
Het genootschap kan bijvoorbeeld de wettelijke vereisten uit werken in een toetsingskader, dat kan worden gebruikt om te toetsen of iemand over de kwaliteiten beschikt om te worden aangemerkt als functionaris.
Ook de toezichthouder, de Autoriteit persoonsgegevens, kan daarbij een rol spelen. In het kader van het toezicht op de naleving van de functionarisverplichting kan de toezichthouder verlangen dat wordt aangetoond dat een functionaris beschikt over de vereiste deskundigheid en professionele kwaliteiten. Voorstelbaar is dat de toezichthouder dan ook betekenis toekent aan de toetsing door een beroepsvereniging, als NGFG, als die inderdaad erin slaagt een werkend toetsingskader op te tuigen.
Van alle nieuwe dingen die de verordening gaat brengen wordt de verplichte functionaris voor internetondernemingen misschien wel een van de minst vrijblijvende. Er is ook daarom veel voor te zeggen nu al na te denken over de wijze waarop straks aan deze verplichting kan worden voldaan. 4
Voetnoot:
1. art. 37, eerste lid, onder b, AVG.
2. Ten minste 28 duizend data protection officers nodig’ Emerce 5 augustus 2016
3. Het NGFG is de Nederlandse beroepsvereniging van Functionarissen Gegevensbescherming. Zie www.ngfg.nl
4. Voor een verder uitwerking wordt verwezen naar: G-J. Zwenne, ‘Een voorstel om de kwaliteit van de FG te waarborgen. Of: wat het betekent als een functionaris is gecertificeerd’, Privacy & Informatie 2016/5.
Opzoek naar een opleiding of congres op het gebied van Data?
Wij bieden diverse opleidingen en congressen aan op het gebied van Privacy & Data. Benieuwd of er iets passends voor u tussen zit?
Bekijk direct het complete aanbod