DPO staat voor Data Protection officer. Een DPO zorgt er onder meer voor dat de Algemene Verordening Gegevensbescherming (hierna: de AVG) wordt nageleefd.
Wat is de AVG?
Sinds mei 2018 bestaat de AVG. De AVG beschermt persoonsgegevens. De AVG definieert persoonsgegevens als alle mogelijke informatie over een identificeerbaar of geïdentificeerd natuurlijk persoon. Een natuurlijk persoon is volgens het recht een mens van vlees en bloed, zoals jij en ik.
De AVG bepaalt dat persoonsgegevens niet zomaar verwerkt mogen worden en dat betrokkenen van die gegevens bepaalde rechten hebben. Zo bestaat er vanuit de AVG ook een verantwoordingsplicht waarom iemand jouw gegevens wil of moet verwerken. Een verwerking van persoonsgegevens is telkens een inbreuk op de privacy van degene van wie de gegevens zijn.
Dit is dus niet alleen bijvoorbeeld jou om je e-mailadres vragen, maar ook je e-mailadres daadwerkelijk gebruiken. Er moet een concreet doel voor zijn en de gegevensverwerking moet noodzakelijk zijn om dit doel te bereiken. Door het ontstaan van de AVG zijn de privacyrechten versterkt en uitgebreid, maar hebben organisaties ook meer verantwoordelijkheden gekregen. Zo moet de AVG ook worden nageleefd en hier wordt op toegezien.
Een voorbeeld hiervan is de Autoriteit Persoonsgegevens (hierna: AP), die de naleving van de AVG bevordert. Een andere, meer concrete functie van dit soort toezichthouders is een DPO. Een DPO is een medewerker van een bedrijf of instelling, die dan belast wordt met de taak om te controleren of de AVG juist wordt nageleefd. Dit is dus een werknemer van het bedrijf zelf. Het is namelijk ook in het belang van het bedrijf om te zorgen dat de AVG niet wordt overtreden, omdat de AP anders flinke boetes kan opleggen.
Waarom en wanneer moet een DPO worden aangesteld?
Een DPO wordt ook wel Functionaris voor de Gegevensbescherming (hierna: FG) of een privacyfunctionaris genoemd. In bepaalde situaties zijn organisaties verplicht een DPO aan te stellen. Dit dus om ervoor te zorgen dat de AVG wordt nageleefd, om boetes te voorkomen. Zo bestaat er een verplichting voor organisaties die:
- Op grote schaal individuen en openbaar toegankelijke ruimten stelselmatig monitort.
- Op grote schaal persoonsgegevens verwerken.
- Systematisch en uitgebreid beoordelingen maakt van persoonlijke aspecten, die gebaseerd is op geautomatiseerde werking.
Daarnaast zijn publieke organisaties en overheidsinstanties ook verplicht tot het instellen van een DPO. Ook zonder dat deze verplichting bestaat, kan je op vrijwillige basis een DPO aanstellen. Het is hierbij van belang dat de organisatie hun DPO aanmeldt bij de AP, ongeacht of deze verplicht is of niet.
Wanneer verwerk je gegevens stelselmatig en op grote schaal?
Zoals eerder genoemd ben je dus verplicht een DPO aan te stellen wanneer je bijvoorbeeld op grote schaal persoonsgegevens verwerkt. Wat is echter een grote schaal?
De Europese Unie speelt een belangrijke rol in het toezicht houden en het beschermen van de privacy van Europese Burgers. De Europese privacy toezichthouders hebben dan ook de Guidelines on Data Protection Officers gepubliceerd.
Hierin wordt aangegeven dat ‘grote schaal’ inderdaad een vaag begrip is. Het is namelijk niet mogelijk om precieze cijfers te geven, of een grens wanneer iets een ‘grote schaal’ is en wanneer niet. Wel is het mogelijk om na een verloop van tijd een bepaalde standaard ‘handvaten’ te bedenken.
Dit soort richtlijnen zijn daarom ook voortdurend in ontwikkeling, omdat ze afhankelijk zijn van de actualiteit. Op dit moment zijn de volgende factoren van belang om te bepalen of je gegevens dan wel niet op ‘grote schaal’ verwerkt:
- De hoeveelheid gegevens, en wat het bereik is van de verschillende verwerkte gegevens. In andere woorden, hoeveel verzamel je en waar gebruik je het voor?
- Het aantal personen van wie je gegevens verzamelt.
- De duur van de gegevensverzameling of dat je ze permanent opslaat.
- Op welke geografische grootte je gegevens verzamelt. Verzamel je alleen in Noord-Holland, of in heel Nederland? Of misschien wel in de Benelux?
Naast dat de gegevensverzameling op grote schaal is, moet deze ook ‘stelselmatig en regelmatig’ zijn wil een DPO verplicht zijn vanuit de AVG. Bij stelselmatig moet je vooral denken aan iets wat systematisch is en vooraf geregeld door een algemeen programma, in het kader van een strategie.
Een goed voorbeeld is iets wat iedereen vast een keer in zijn mailbox heeft gekregen, namelijk een nieuwsbrief van bijvoorbeeld een webshop. Dit soort e-mails zijn een marketingstrategie en worden geautomatiseerd verstuurd. Ook dit is een vorm van gegevensverwerking, omdat je e-mailadres keer op keer weer wordt gebruikt.
Met regelmatig wordt bedoeld dat het doorlopend en terugkerend op vaste tijdstippen terugkomt, zowel constant of periodiek. De e-mails van webshops zijn hier ook voorbeelden van, wellicht heb je dit niet altijd door, maar ook deze worden op een vast tijdstip (misschien wel meerdere keren per week) verstuurd.
Taken van een DPO
De DPO is verwerkingsverantwoordelijke met betrekking tot de zogenoemde ‘hoofdactiviteiten’ en niet met betrekking tot de verwerking van persoonsgegevens als ‘nevenactiviteit’. Dit zijn de ‘kerntaken’. Hiermee wordt bedoeld dat het te dienen doel van een bedrijf of een instelling voorop staat.
Neem bijvoorbeeld een ziekenhuis. Het doel van een ziekenhuis is zorg leveren. Hierbij is echter ook van belang dat doctoren bepaalde medische gegevens in dossiers kunnen inzien, wat weer een vorm van verwerking van persoonsgegevens is.
Dit kan worden gezien als een hoofdactiviteit van een ziekenhuis, omdat het verwerken van persoonsgegevens noodzakelijk en essentieel is voor het kunnen leveren van zorg en dus het bereiken van het doel van de instelling. Hiervoor moet een ziekenhuis dus een DPO aanstellen. Deze kan vervolgens bijvoorbeeld de verwerkersovereenkomsten beheren en controleren.
Nevenactiviteiten
Wat zijn dan nevenactiviteiten? Je moet kijken of het noodzakelijk en essentieel is voor een instelling of een bedrijf om het uiteindelijke doel te dienen.
Zo heeft een ziekenhuis ook personeel waar ze gegevens van moeten verzamelen, voor bijvoorbeeld de uitbetaling. De gegevensverzameling met als doel uitbetaling van het zorgpersoneel is in dit geval een nevenactiviteit, omdat dit niet noodzakelijk is voor het leveren van zorg.
Hier valt natuurlijk over te twisten, maar dit soort activiteiten worden hierbij niet als strikt noodzakelijk of essentieel voor het te dienen doel gezien. Hierdoor is vaak het verzamelen van persoonsgegevens van personeel geen hoofdactiviteit van bedrijven of instellingen en vaak dus geen kerntaak van een DPO om te controleren.