Wat maakt een goede Data Protection Officer (DPO)?

Auteur: Sergej Katus [1]

De Data Protection Officer (DPO) heet in het Nederlands de ‘Functionaris Gegevensbescherming’, kortweg FG. DPO’s spelen een  belangrijke rol bij de bescherming van persoonsgegevens. Essentieel is dat die rol goed wordt ingevuld. Maar wat maakt een goede DPO? In deze blog wordt ingegaan op de functie van de DPO, zijn profiel en zijn missie. Tien praktische vragen helpen bepalen of de setting klopt waarbinnen een DPO moet werken. DPO-schap mag best een uitdaging zijn maar nooit een onmogelijke opdracht.

Een functionaris voor gegevensbescherming (data protection officer) is wettelijk toezichthouder. Je meerwaarde is dat je jouw organisatie als geen ander weet te helpen om privacywetgeving na te leven, omdat je het dichtst bij het vuur zit en vanwege je wetsexpertise en kennis van de praktijk. Dit is sinds de jaren ’90 de kerngedachte achter de DPO. Vandaar dat de DPO-functie in de Wet Bescherming Persoonsgegevens was opgenomen en nu ook in de Algemene Verordening Gegevensbescherming is teruggekeerd.

Logischerwijs zien ook de centrale AVG-toezichthouders – in Nederland de Autoriteit Persoonsgegevens – jou als de hoeksteen en sleutelfiguur van het welslagen van de AVG. [2] Als jij je functie AVG-conform uitoefent, (waar)borg je niet alleen de bescherming van persoonsgegevens maar help je het centrale toezicht ook door jouw voeding uit de praktijk en het vertrouwen dat zij kan stellen in de handhaving van de AVG.

Want handhaving doe je in eerste instantie met de zachte middelen volgens het takenpakket van de DPO in artikel 39. Pas bij zodanige onwil van de organisatie dat de doelen van de AVG niet worden bereikt, is handhaving met hardere middelen opportuun. Als DPO moet je dan afwegen of de situatie ernstig genoeg is om het centrale toezicht te betrekken. Daarmee geef je het stafje over, wat zoals bekend, uiteindelijk kan leiden tot last onder dwangsom en bestuurlijke boetes.

Complementair toezicht

Met andere woorden; de EU-wetgever heeft in de AVG voorzien in een complementair toezichtsysteem. Goed herkenbaar hierin zijn de bestuurlijke beginselen van subsidiariteit (zorg dat probleemoplossing zo dicht mogelijk bij het vuur wordt georganiseerd) en proportionaliteit (zet alleen zwaardere middelen in wanneer lichtere middelen niet volstaan). Natuurlijk werkt het systeem niet in de volgende situaties:

1. de DPO ontbreekt of functioneert niet goed;
2. het centrale toezicht ontbreekt of functioneert niet goed;
3. het samenspel tussen DPO en het centrale toezicht ontbreekt of functioneert niet goed.

Daar waar de DPO ontbreekt of niet goed functioneert, is het centrale toezicht het vangnet. Maar hoe goed centraal toezicht ook functioneert; het blijft centraal toezicht – met alle beperkingen die je van een centrale oplossing kunt verwachten en die de DPO juist weer meerwaarde geeft. Soepel samenspel is een kwestie van elkaar willen betrekken, begrijpen en respecteren, want je staat voor dezelfde zaak.

Bedoeling van toezicht

De situaties waarin het AVG-toezicht niet functioneert hebben aangrijpingspunten waar een DPO iets mee kan. Wat maakt een goede DPO? Nou – dat hij er in die situaties ook iets aan doet. Niet om het toezicht als zodanig maar om via het toezicht te kunnen bijdragen aan het succes van de AVG – wat ogenblikkelijk de vraag oproept wanneer de AVG succes heeft.

Je zou zeggen dat het antwoord op die vraag voor de hand ligt, namelijk bescherming van persoonsgegevens, wat nota bene een grondrecht is. Maar dat is te gemakkelijk. Wie de AVG beter leest – let bijvoorbeeld goed op de volledige titel van de AVG, want ‘AVG’ is daarvan slechts de verkorte vorm – ziet dat de AVG succesvol is wanneer (1) personen bescherming krijgen terwijl (2) er sprake is van vrij gegevensverkeer.

Beide doelen lijken tegenstrijdig maar de hele AVG gaat erover dat ze dat níet zijn. Start met het lezen van de AVG in hoofdstuk IV, om vervolgens hoofdstukken II en III erbij te betrekken (en waar nodig ook hoofdstuk V). De AVG ontvouwt zich dan als een handleiding hoe je beide doelen met elkaar verenigt. In artikel 24 draagt de wetgever besturen op om aan die handleiding uitvoering te geven. In artikel 25 beschrijft de wetgever het te bereiken resultaat.

De andere artikelen van hoofdstukken II tot en met V helpen om dit in uiteenlopende situaties goed voor elkaar te krijgen. De aanpak als geheel noemen we ‘gegevens­bescherming’, maar daarmee doen we het resultaat eigenlijk te kort. De AVG stelt de norm voor maatschappelijk verantwoorde verwerking van persoonsgegevens (‘digitale duurzaamheid’). Het toezicht is er om te bevorderen dat we dit ook met z’n allen voor elkaar krijgen, door middel van zachte en harde handhaving van de AVG.

Wettelijk profiel

Om terug te keren naar de vraag of het toezicht goed functioneert en wat je daaraan doet als dat niet zo is, is beginnen bij jezelf. Als DPO ben je onderdeel van de bestuurlijke aanpak volgens artikel 24 en moet je in staat zijn om je rol goed te vervullen. Zoiets moet je in je hebben. De wetgever formuleert daarom in artikel 37 de eisen die aan de DPO worden gesteld.

‘De functionaris voor gegevensbescherming wordt aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen de in artikel 39 bedoelde taken te vervullen.’

Stel jezelf de vraag in hoeverre je voldoet aan het wettelijk profiel van artikel 37 AVG en wees eerlijk. Hou hierbij in het achterhoofd dat waar de Nederlandse wettekst spreekt van ‘deskundigheid’, in het Engels de term ‘expert knowledge’ wordt gehanteerd, wat de overtreffende trap is van deskundigheid. [3]

Als dit niet jouw profiel is, ben je – afhankelijk van de manier waarop je nu met deze kennis omgaat – part of the problem óf part of the solution. Hetzij repareer je de situatie door je te laten bijstaan door iemand die wél aan het profiel voldoet en door aan jezelf te werken (bijspijkering van kennis en vaardigheden). Hetzij behoor je je opdracht terug te geven, want je opdrachtgever had je niet mogen aanwijzen en zelf functioneer je nu in strijd met de AVG. [4]

Het kan prima zo zijn dat jij je organisatie nog steeds kan helpen op AVG-gebied, maar dan kennelijk op een andere manier en (nog) niet als DPO. Door je opdracht terug te geven, betracht je dus ook onder de omstandigheid dat je niet aan het profiel voldoet, nog steeds goed DPO-schap.

Kompas

Let erop dat het DPO-profiel in artikel 37 breder is geformuleerd. Om van de AVG een succes te maken, zul je als handhaver-met-zachte-middelen over het vermogen moeten beschikken om je organisatie mee te krijgen zonder dat je de harde middelen überhaupt nodig hebt. Dat betekent dat je over leiderschapskwaliteiten beschikt, waaronder meedenkend vermogen, autoriteit op basis van relevante werkervaring, autonome uitstraling, integriteit, organisatiebewustzijn en communicatievaardigheid op alle niveau’s. Ook ben je van vele markten thuis: je begrijpt de bedrijfsprocessen, je begrijpt het bestuur, je begrijpt het management, je begrijpt de werkvloer, je begrijpt de ketensamenwerking, je begrijpt de ICT, en ga zo maar door.

Vooral begrijp je de AVG en versta je kunst van het relativeren – of beter gezegd: je beschikt over een flinke dosis gezond verstand. Dit niet alleen door steeds het doel van de AVG goed voor ogen te houden, maar óók door je te laten leiden door het kompas dat de wetgever je mee heeft gegeven in artikel 39.2 AVG:

‘De DPO houdt bij de uitvoering van zijn taken naar behoren rekening met het aan verwerkingen verbonden risico, en met de aard, de omvang, de context en de verwerkingsdoeleinden’.

Het risicobegrip in de AVG, dat vrijwel altijd gepaard gaat met de herinnering om voor  artikel 25-oplossingen te zorgen (‘passende technische en organisatorische maatregelen’), staat in de AVG dermate centraal dat ik daar in mijn volgende blog dieper op inga. Laten we het er hier op houden dat een goede DPO zich voortdurend afvraagt of de aanpak van zijn organisatie inderdaad ‘passend’ is, dat wil zeggen: leidt tot echte oplossingen voor echte problemen. Dat betekent dat je ook een neus hebt voor nep-oplossingen of het máken van problemen terwijl deze er naar de maatstaven van de AVG niet zijn of wel meevallen.

Setting

Zo moet, het is al gezegd, ook een DPO steeds een échte oplossing zijn. In dit verband mag het duidelijk zijn dat niet alleen jij als persoon maakt dat de DPO-functie goed wordt ingevuld, maar dat dit ook afhankelijk is van de setting waarin je je werk doet. Want ook een juiste persoon in een verkeerde setting is niet passend. In het geval van de DPO dreigt dat ten koste te gaan van de gegevensbescherming, en daarmee in de eerste plaats de bescherming van de personen over wie jouw organisatie gegevens verwerkt. Daarmee loopt ook jouw organisatie risico’s.

Vergeet vooral jezelf niet. Een verkeerde setting kan uitermate stressvol zijn. Ook zul je zien dat jij de zwarte piet krijgt toegespeeld wanneer dingen nóg meer fout gaan, wat je kan beschadigen. Onderzoek daarom, wanneer je voor een DPO-functie gevraagd wordt, of je setting klopt. En check ook je setting wanneer je in het zadel zit. Want je opdracht mag best een uitdaging zijn maar nooit een onmogelijke opdracht.

Check je setting in 10 vragen

Uit artikel 37-39 AVG haal je nuttige vragen voor een setting-check.

1.  Is je opdracht helder, expliciet en compleet genoeg geformuleerd?
2. Ben je op basis hiervan door het bestuur van jouw organisatie benoemd?
3. Is je rol duidelijk gecommuniceerd, zowel intern als extern (waaronder de AP)?
4. Wordt je rol ook door iedereen gerespecteerd?
5. Kun je in onafhankelijkheid invulling geven aan je rol?
6. Beschik je over voldoende tijd en middelen voor professionele invulling van taken en assistentie?
7. Heb je voldoende toegang tot het bestuur van je organisatie en daarbinnen de juiste persoon?
8. Is je functie goed gescheiden van het uitvoerende werk zoals de uitvoering van PIA’s, het beheer van het verwerkingsregister, het opstellen van verwerkersovereenkomsten of melding van datalekken?
9. Ben je laagdrempelig toegankelijk voor personen die klachten hebben over hun gegevensbescherming?
10. Heb je voldoende ruimte voor begeleiding, coaching, training, intervisie, profilering, deelname aan congressen, of wat je verder maar nodig hebt om goed te zijn in je vak?

Werken aan jezelf

Er zijn cursussen en trainingen die helpen om goed te zijn in je vak. Je kunt ook denken aan coaching en ondersteuning door gespecialiseerde bureaus. Met name bij problemen met je setting is het verstandig om externe hulp te betrekken want een buitenstaander krijgt vaak meer voor elkaar. Let er bij je keuzes op dat de bedoeling van je functie en je kompas zoals hiervoor omschreven, goed uit de verf komen. Een DPO-training is geen cursus AVG.

Een algemeen erkend DPO-diploma bestaat nog niet. Je geschiktheid moet echt blijken uit je cv. De training die helpt om effectiever vanuit artikel 24 en 25 AVG te werk te gaan is de 4-daagse opleiding Data Protection Officer. Meer informatie over de opleiding?
Bezoek de website

>> Lees het vervolg: wat maakt een goede DPO – Deel 2

[1] mr S.H. Katus, CIPP/E CIPM FIP is functionaris voor gegevensbescherming en partner bij Privacy Management Partners.

[2] Zie WP29 richtlijnen FG, gepubliceerd door de AP en overgenomen door de EDPB.

[3] Illustratief voor het verschil tussen deskundigheid en expertise is de miskleun van het Getty museum bij de aanschaf van een kouros in 1983 voor 10 miljoen dollar. De deskundigen vonden na uitvoerig onderzoek dat het beeld echt was. De experts stelden in één oogopslag vast dat het om een vervalsing ging.

[4] Op aanwijzing van een FG die niet aan het wettelijk profiel voldoet staat volgens artikel 83.4 AVG een boete van maximaal 10 miljoen euro of 2% van de jaaromzet. Denk ook na over beroepsaansprakelijkheid.