DPO, what are you going to do with it? Quality title for the DPO: the Register DPO

DPO, what are you going to do with it? Quality title for the DPO: the Register DPO

Articles, Blogs

Door: Caroline Willemse met bijdragen van deelnemers van de werkgroep Ethiek.

Borging van kwaliteit van de Functionaris voor Gegevensbescherming, die een maatschappelijke functie bekleedt

De VN-rapporteur voor het recht op privacy rapporteerde eind 2017 al dat de afgelopen 2 jaar meer data is verzameld dan in alle voorgaande jaren in de geschiedenis. In data zit veel ‘potentie’ en daar spelen overheid en bedrijfsleven op in. Overheden maken in toenemende mate gebruik van mogelijkheden om persoonsgegevens uit te wisselen, zoals het gebruik van reisgegevens van de ov-chipkaart voor de opsporing van fraude en de zwarte lijst die toegankelijk was voor duizenden medewerkers van meerdere onderdelen van de Belastingdienst. We hebben er geen idee van hoeveel invloed het web en de algoritmes hebben op  ons en ons zoekgedrag. Vermoedelijk worden onze keuzes beïnvloed, inclusief ons stemgedrag bij verkiezingen.

De EU heeft ter bescherming van onze persoonsgegevens en de daarbij horende persoonlijke levenssfeer: de Algemene verordening gegevensbescherming (AVG) geïntroduceerd. Deze verordening stelt voor overheden en bepaalde private organisaties de aanstelling van een functionaris voor gegevensbescherming (FG) verplicht. Een FG is een interne toezichthouder in organisaties. De rol van interne toezichthouder is (inherent) complex en vergelijkbaar met die van andere toezichthouders, zoals de controller of accountant.

Zo is het advies van de FG vereist voor de goedkeuring van de jaarrekening. Er kan veel druk op de FG worden gelegd om een rooskleurig advies te geven. De grote vraag is dan ook of het de FG lukt om impact te maken in organisaties. Dit zal mede afhangen van kennis en vaardigheden van de FG.

Welke kennis en vaardigheden worden verwacht van een FG?

De Europese toezichthouder geeft aan dat de FG zorgvuldig geselecteerd moet worden. Ten aanzien van de professionele kwaliteiten stelt de Europese toezichthouder de volgende eisen:

  • expertise hebben in de relevante wet- en regelgeving;
  • kennis van de bedrijfstak en de organisatie van het bedrijf waarvoor hij wordt aangesteld;
  • inzicht in de uitgevoerde gegevensverwerkingen, de informatiesystemen en de behoeften van de verantwoordelijke op het gebied van veiligheid van gegevens en gegevensbescherming;
  • kennis van de administratieve regels en procedures van de organisatie.

De vereisten waaraan een FG dient te voldoen zijn algemeen geformuleerd. Dit laat veel ruimte voor eigen interpretatie.[1]

Verder vindt er geen enkele toetsing plaats of de FG daar daadwerkelijk aan voldoet. De AVG verplicht slechts tot het mededelen van de contactgegevens van de FG aan de Nederlandse toezichthouder, de Autoriteit Persoonsgegevens (AP). Na de melding ben je FG.

Zo kunnen overheidsorganen, financiële instellingen, verzekeraars, ziekenhuizen en GGZ-instellingen rekenen op een boete rekenen indien zij niet aantoonbaar een FG hebben aangesteld. Door de toegenomen vraag naar FG’s is er een wildgroei aan ‘experts’ gekomen op het gebied van privacyregelgeving. Veel organisaties slagen er niet in om het kaf van het koren te scheiden.

Een (onkundige) FG aanstellen brengt in veel gevallen aansprakelijkheidsrisico’s met zich mee voor het bestuur van de organisatie. De AP kan in dat geval niet anders concluderen dan dat de organisatie niet voldoet aan de wet. Boetes die op grond van de AVG kunnen worden opgelegd zijn dermate hoog dat het voortbestaan van de organisatie in gevaar kan komen.

Van belang is te weten dat FG’s ontslagbescherming genieten. Het is namelijk niet de bedoeling dat het bestuur van een organisatie een kritisch oordeel van een FG kan beantwoorden met een ontslag.

Borgen van kwaliteit

Maar hoe weet een bedrijf of instelling nu of de FG een deskundig en vaardig persoon is? En hoe weet de FG zelf of hij voldoende kennis en vaardigheden bezit? Opleidingen tot FG variëren van een korte cursus van een paar dagen tot maanden- of jarenlange studies.

Om de kwaliteit van de FG te borgen hoeven we niet het wiel opnieuw uit te vinden. Er zijn verschillende beroepsgroepen die vergelijkbaar zijn, zoals die van accountants. Zij zijn breed opgeleid en na het voltooien van hun opleiding kunnen ze zich in het accountantsregister als RA of AA laten inschrijven. Degenen die ingeschreven staan, hebben voldoende kennis van het vak. De daarbinnen geldende gedrags- en beroepsregels staan voor een ethisch verantwoorde  en professionele houding. Zo kan een accountant geen opdracht aannemen zonder voldoende inhoudelijke of branchespecifieke kennis. De beroepsregels dwingen af dat de accountant ‘de rug recht houdt’ ongeacht de situatie waarin hij zich bevindt. Dat beoogt onethische gedragingen te voorkomen. Daarnaast is er een mogelijkheid om de accountant voor de tuchtrechter te dagen, als een derde vindt dat de accountant de gedrags- en beroepsregels heeft overtreden. Deze regels gelden voor alle ingeschreven accountants, ongeacht of ze de functie van accountant uitoefenen.

Een werkgever of opdrachtgever die een accountant wil aannemen of een opdracht gunt, kan het accountantsregister raadplegen om na te gaan of de persoon geregistreerd staat en weet daarmee dat deze persoon de benodigde opleiding heeft gevolgd en gebonden en verbonden is aan de gedrags- en beroepsregels.

De RFG-titel

Eenzelfde opzet moet volgens ons ook geregeld worden voor FG’s. Alleen personen die een geaccrediteerde/gecertificeerde opleiding hebben gevolgd en behaald, mogen worden ingeschreven in een FG-register en mogen de titel Register FG (RFG) dragen. Daarnaast dient ethisch handelen geborgd te worden in gedrags- en beroepsregels. Een beroepscode is volgens ons nodig[2]. Enkel een RFG kan zich laten inschrijven in het register. Het zou aan te bevelen zijn als bijvoorbeeld de AP houder wordt van zo’n register. Een (nog in te stellen onafhankelijke) tuchtraad zou kunnen toezien op de naleving van de gedrags- en beroepsregels.

Het borgen van de kwaliteit en ethisch handelen van een FG is voorwaardelijk voor het naleven van de AVG en de borging van privacy binnen de samenleving. Alleen dan kunnen individuen beter beschermd worden tegen ongeoorloofd gebruik van hun persoonsgegevens (inbreuk op de privacy).

Toetsen van FG-gedragsregels

Het is noodzakelijk om expliciete eisen ten aanzien van opleiding en gedragsregels te stellen aan de FG, die ook getoetst kunnen worden. Een ieder dient de mogelijkheid te hebben zich ervan te vergewissen dat ze met een goed opgeleide en bekwame/integere FG te maken hebben.

Om deze redenen pleiten wij voor een register met uitsluitend FG’s die aan de benodigde kwaliteiten voldoen: het register van RFG’s.

Wegens het ontbreken van een (inter)nationaal register van FG’s heeft Duthler Academy een aantal jaren geleden zelf een register opgesteld. Het FG Register[3] is het register waarin aspirant FG’s (AFG) (dat wil zeggen: deelnemers aan de Opleiding FG) en gecertificeerde FG’s (RFG) worden opgenomen. Het register is voor iedereen te raadplegen via internet en wordt beheerd door Duthler Academy. FG’s die ingeschreven staan in het register van de Duthler Academy zijn vanaf 1 januari 2019 gebonden aan deze gedragsregels[4].

MYOBI is een Trusted Third Party (TTP) en heeft in haar voorwaarden opgenomen dat deelnemers het niveau van hun accountability voor de naleving van de AVG-transparant moeten maken met een Accountability Seal. MYOBI vraagt daarbij de bevestiging van de FG van het deelnemende bedrijf omdat derden moeten kunnen vertrouwen op de Seal. MYOBI kan dat alleen doen als de kwaliteit van de FG is vastgesteld en raadpleegt daarvoor het FG Register van Duthler Academy.

Vragen?

Heeft u naar aanleiding van deze blog vragen? Neem gerust contact met ons op via +31 070 392 22 09 of servicedesk@duthleracademy.nl.


[1] In afdeling IV van de AVG (artikel 37 t/m 39) heeft de wetgever de positie, taken en de randvoorwaarden van de functie van Functionaris voor Gegevensbescherming (FG) vormgegeven. De toezichthouder, de Autoriteit Persoonsgegevens (AP), heeft daarop richtlijnen voor de FG’s opgesteld die gebaseerd zijn op de FAQ die werkgroep artikel 29 (WP 29) heeft uitgewerkt in december 2016. Daarin worden onder andere de deskundigheid en vaardigheden verder uitgeschreven, die benodigd zijn voor de invulling van de functie als FG. In de Uitvoeringswet AVG zijn geen verdere bepalingen opgenomen omtrent kennis en vaardigheden voor de FG.

[2] De werkgroep Ethiek heeft daarom zelf gedrags- en beroepsregels opgesteld en studenten en afgestudeerden aan de Duthler Academy worden geacht zich aan deze regels te houden. De werkgroep heeft met name het discussiëren over het tot stand komen van deze regels als waardevol ervaren.

[3] Functionaris voor Gegevensbescherming Register – Duthler Academy

[4] 181220-Kernwaarden-en-gedragsregels-FG-versie-2.pdf (duthleracademy.nl)