Het dagelijkse werk van een Data Protection Officer

Onder de Algemene Verordening Gegevensbescherming (GDPR / AVG) zijn sommige organisaties verplicht om een Data Protection Officer (DPO) aan te stellen. In Nederland wordt met betrekking tot deze functie ook wel van een Functionaris Gegevensbescherming (FG) gesproken. Een DPO of FG vervult binnen organisaties een onafhankelijke rol omtrent de bescherming van persoonsgegevens. Hij of zij adviseert het bedrijf over het gebruik van persoonsgegevens conform de privacywetgeving en toetst ook of het aan de wetgeving voldoet. In deel 7 van deze blogserie interviewen we Reinier Treep, Data Protection Officer bij DDMA-lid Nuon/Vattenfall. Hij vertelt wat de functie als DPO in de praktijk behelst.

Dit artikel is geschreven in samenwerking met mijn collega Sanne Mulder, legal counsel bij DDMA.

Wat doet een DPO precies?

“Dat is geen eenvoudige vraag. Opvallend genoeg zie je dat er bij organisaties verschillende titels worden gebruikt voor wat in wezen dezelfde functie is: functionaris gegevensbescherming, Data Protection Officer, Data Privacy Officer. En per organisatie wisselt het dan ook weer hoe er invulling wordt gegeven aan zo’n functie. Puur vanuit mijn eigen ervaring gesproken, is een DPO degene die de organisatie ondersteunt in haar verantwoordelijkheid om te voldoen aan wet- en regelgeving omtrent privacy. Zo informeer en adviseer ik over correct gebruik van persoonsgegevens. Dit doet een DPO zowel richting de eindverantwoordelijken als naar alle lagen daaronder. Veder moet ik toetsen of de organisatie wel conform de wet en interne procedures werkt en ben ik contactpersoon voor de Autoriteit Persoonsgegevens (AP).”

Adviseren én toetsen, knelt dat niet?

“Dat zou je kunnen denken, maar ik zie het zelf meer als een logische cirkel. Ik houd intern in de gaten of wat wij met data doen niet strijdig is met de wetgeving. Het management van Nuon moet zich net als iedere andere organisatie aan de privacywetgeving houden. Ik probeer het onderwerp op de agenda te krijgen en adviseer hoe ze bepaalde zaken het beste kunnen regelen. Maar als daar vervolgens niets mee gebeurt, heb je weinig aan dat advies. In die zin is het dus logisch dat ik er ook op toezie dat de adviezen worden nageleefd. En als ik mijn taak niet goed uitvoer is er altijd nog een kans dat de Autoriteit Persoonsgegevens (AP) een onderzoek start, bijvoorbeeld naar aanleiding van een klacht of datalek.”

Niet alle organisaties zijn verplicht om een DPO in dienst te nemen. De AVG heeft hier speciale bepalingen voor opgesteld.

Hoe verhoudt een DPO zich tot de AP?

“Binnen organisaties is de verantwoordelijkheid voor het naleven van de wet- en regelgeving in drie lagen georganiseerd, de zogenaamde ‘three-lines-of-defence’. Denk voor de eerste lijn bijvoorbeeld aan het management of de marketingdirecteur die dagelijks beslissingen nemen waarbij persoonsgegevens worden verwerkt. Deze eerste lijn wordt ondersteund en gecontroleerd door de tweede lijn, bijvoorbeeld de risk-afdeling en de DPO. En of die tweede lijn goed zijn werk doet, wordt weer gecontroleerd door de derde lijn: de internal-auditafdeling of de Autoriteit Persoonsgegevens. Deze externe partijen controleren allebei of alles wel goed verloopt.”

Zou ieder bedrijf een DPO moeten hebben?

“Als je het puur vanuit het perspectief van de wetgeving bekijkt: nee. Niet alle organisaties zijn verplicht om een DPO in dienst te nemen. De AVG heeft hier speciale bepalingen voor opgesteld. Maar ook als je niet onder deze bepalingen valt kan het goed zijn om een DPO aan te stellen. Zo toon je als organisatie aan dat je verantwoordelijkheid neemt. Je hebt het toch over de data van je klanten en medewerkers. Een DPO hoeft overigens niet fulltime in dienst te worden genomen. Het mag ook parttime en kan zelfs door een externe worden uitgevoerd. Welk model het beste past hangt af van onder meer de grootte van het bedrijf, het type data dat wordt verwerkt en bijvoorbeeld risk exposure.”

Waar een DPO vroeger een bijrol vervulde, wordt het werk nu echt een fulltime taak.

Gaat bij jullie iedereen goed met data om?

“Binnen Nuon en het Zweedse moederbedrijf Vattenfall ben ik verantwoordelijk voor de implementatie van de AVG. Hoe ver men daarmee is wisselt van land tot land. Duitsland, waar ze al veel langer met privacywetgeving bezig zijn, is bijvoorbeeld veel verder dan Zweden. In het Scandinavische land ligt het gebruik van data niet zo gevoelig. Daar moet ik echt uitleggen waarom ze nu deze regelgeving moeten naleven. Alleen al dat bewustzijn creëren, is vaak een serieuze stap vooruit.”

Is je werk door de komst van de AVG veranderd?

“Absoluut, ik heb er nog veel meer plezier in gekregen. De AVG is natuurlijk een hele grote uitdaging, helemaal voor een internationale organisatie. Daarnaast gaat het zo hard met de technologische ontwikkelingen dat je continu uitgedaagd wordt. Ook zie je dat de maatschappij steeds kritischer wordt aangaande privacy. Men verlangt meer transparantie en controle over data. Waar een DPO vroeger een bijrol vervulde, wordt het werk nu echt een fulltime taak. Dat zie je ook bij opleidingen, aan de universiteit worden er nu modules mee gevuld. Daardoor neemt het niveau binnen het veld ook enorm toe. Dat lijkt me een positieve ontwikkeling.”

Is jouw organisatie klaar voor de AVG? En wil je weten of de vorderingen van jullie AVG-voorbereidingen vergelijkbaar zijn met andere organisaties? Doe dan de gratis DDMA AVG Status Check.