Wijzigingen onder de AVG, deel 3: de DPO – wat en wanneer?

 3 november 2017 | Blog

Onder de AVG is het voor bepaalde organisaties verplicht om een functionaris voor de gegevensbescherming ('FG') of (in het Engels) een 'Data Protection Officier' ('DPO') aan te stellen. Andere organisaties mogen vrijwillig een DPO aanstellen, maar zijn dan gebonden aan de regels die de AVG voorschrijft.

Wat is een DPO?
Een DPO is een persoon die toezicht houdt op de verwerking van persoonsgegevens binnen een organisatie dat deze conform de AVG plaatsvind. Naast deze toezichtfunctie heeft de DPO een adviesrol.

Voor wie is een DPO verplicht?
Zowel de verwerkingsverantwoordelijke als de verwerker moet een DPO aanstellen.

Niet alle organisaties zijn verplicht om een DPO aan te stellen. Op basis van de AVG bestaat deze verplichting voor:

1)    Alle overheidsinstanties en organen. Uitzondering daarop zijn gerechten bij de uitvoering van hun rechterlijke taken.

2)    Daarnaast alle organisaties die:

    1. hoofdzakelijk belast zijn met verwerkingen die regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen; of
    2. hoofdzakelijk belast zijn met grootschalige verwerking bijzondere persoonsgegevens.

Vage termen
Voor overheidsinstanties is het aanstellen dus verplicht. Voor andere organisaties is het lastiger te bepalen of een verplichting bestaat. De Europese privacytoezichthouders hebben gezamenlijk beleidsregels opgesteld, waarmee een en ander wordt verduidelijkt. Hieronder worden de beleidsregels toegelicht:

  • Hoofdzakelijk belast

Met 'hoofdzakelijk belast' wordt bedoeld dat de verwerking van persoonsgegevens gebeurt in het kader van de kerntaken of hoofdactiviteiten van de organisatie. 'Kerntaken' zijn de belangrijkste handelingen die nodig zijn om het doel van de verantwoordelijke of de verwerker te bereiken. De beleidsregels verduidelijken dat ook de activiteiten waarbij de verwerking van gegevens een onlosmakelijk onderdeel van de werkzaamheden van een verantwoordelijke of verwerker, kerntaken zijn. De beleidsregels noemen als voorbeelden daarvan; een ziekenhuis die patiëntgegevens verwerkt en een beveiligingsbedrijf dat een aantal winkelcentra of openbare gelegenheden bewaakt.

  • Grote schaal

In de beleidsregels wordt geen definitie gegeven wat onder 'grote schaal' moet worden verstaan. De beleidsregels geven aan dat rekening gehouden moet worden met vier factoren:

  1. de grootte van de groep betrokkenen;
  2. de hoeveelheid persoonsgegevens en/of verschillende categorieën gegevens;
  3. de duurzaamheid van de verwerking;
  4. de geografische omvang van de verwerking.

De beleidsregels geven de volgende voorbeelden die wellicht houvast bieden:

Wel sprake van grootschalige verwerking:

  • het verwerken van patiëntgegevens door een ziekenhuis;
  • het verwerken van klantgegevens door banken of verzekeringen;
  • het verwerken van persoonsgegevens door een zoekmachine voor het tonen van advertenties op basis van hun internetgedrag;
  • verwerking van reisgegevens van mensen die met het openbaar vervoer in een bepaalde stad reizen;
  • het verwerken van actuele locatiegegevens van klanten voor een grote organisatie voor statistische doeleinden
  • het verwerken van gegevens door telefoon- of internetproviders.

Geen sprake van grootschalige verwerking:

  • het verwerken van patiëntgegevens door een individuele arts;
  • het verwerken van persoonsgegevens over veroordelingen en strafbare feiten door een individuele advocaat.
  • Regelmatig en stelselmatig?

De beleidsregels geven beperkt richting aan wat bedoeld wordt met 'regelmatig' en 'stelselmatig'.

Onder 'regelmatig' moet gedacht worden aan;

  • constant of plaatsvindend op bepaalde tussenpozen voor een bepaalde duur;
  • terugkerend of herhalend op gezette tijden.

Van 'stelselmatig' worden de volgende voorbeelden gegeven:

  • op basis van een systeem;
  • vooraf geregeld, georganiseerd of systematisch;
  • plaatsvindend as onderdeel van een algemeen plan om gegevens te verzamelen.

Conclusie
In de praktijk is het niet altijd even duidelijk wanneer de verplichting tot aanstellen van een DPO bestaat. De beleidsregels van de privacytoezichthouders geven aanknopingspunten maar geen concrete invulling. In gevallen van twijfel is het raadzaam om een DPO aan te stellen, zodat handhaving achteraf door de Autoriteit Persoonsgegevens kan worden voorkomen. Wanneer een DPO aangesteld wordt moet wel rekening gehouden worden met naleving van alle plichten uit de AVG. 

Juridisch advies of meer informatie?

Deze blog is geschreven door Danny Koevoets en Eliëtte Vaal. Voor meer informatie kunt u contact opnemen met Eliëtte Vaal. 

 Meer weten over de wijzigingen onder de AVG? Bekijk de reeks blogs over dit onderwerp.

Onder de AVG is het voor bepaalde organisaties verplicht om een functionaris voor de gegevensbescherming ('FG') of (in het Engels) een 'Data Protection Officier' ('DPO') aan te stellen. Andere organisaties mogen vrijwillig een DPO aanstellen, maar zijn dan gebonden aan de regels die de AVG voorschrijft.

Wat is een DPO?
Een DPO is een persoon die toezicht houdt op de verwerking van persoonsgegevens binnen een organisatie dat deze conform de AVG plaatsvind. Naast deze toezichtfunctie heeft de DPO een adviesrol.

Voor wie is een DPO verplicht?
Zowel de verwerkingsverantwoordelijke als de verwerker moet een DPO aanstellen.

Niet alle organisaties zijn verplicht om een DPO aan te stellen. Op basis van de AVG bestaat deze verplichting voor:

1)    Alle overheidsinstanties en organen. Uitzondering daarop zijn gerechten bij de uitvoering van hun rechterlijke taken.

2)    Daarnaast alle organisaties die:

    1. hoofdzakelijk belast zijn met verwerkingen die regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen; of
    2. hoofdzakelijk belast zijn met grootschalige verwerking bijzondere persoonsgegevens.

Vage termen
Voor overheidsinstanties is het aanstellen dus verplicht. Voor andere organisaties is het lastiger te bepalen of een verplichting bestaat. De Europese privacytoezichthouders hebben gezamenlijk beleidsregels opgesteld, waarmee een en ander wordt verduidelijkt. Hieronder worden de beleidsregels toegelicht:

  • Hoofdzakelijk belast

Met 'hoofdzakelijk belast' wordt bedoeld dat de verwerking van persoonsgegevens gebeurt in het kader van de kerntaken of hoofdactiviteiten van de organisatie. 'Kerntaken' zijn de belangrijkste handelingen die nodig zijn om het doel van de verantwoordelijke of de verwerker te bereiken. De beleidsregels verduidelijken dat ook de activiteiten waarbij de verwerking van gegevens een onlosmakelijk onderdeel van de werkzaamheden van een verantwoordelijke of verwerker, kerntaken zijn. De beleidsregels noemen als voorbeelden daarvan; een ziekenhuis die patiëntgegevens verwerkt en een beveiligingsbedrijf dat een aantal winkelcentra of openbare gelegenheden bewaakt.

  • Grote schaal

In de beleidsregels wordt geen definitie gegeven wat onder 'grote schaal' moet worden verstaan. De beleidsregels geven aan dat rekening gehouden moet worden met vier factoren:

  1. de grootte van de groep betrokkenen;
  2. de hoeveelheid persoonsgegevens en/of verschillende categorieën gegevens;
  3. de duurzaamheid van de verwerking;
  4. de geografische omvang van de verwerking.

De beleidsregels geven de volgende voorbeelden die wellicht houvast bieden:

Wel sprake van grootschalige verwerking:

  • het verwerken van patiëntgegevens door een ziekenhuis;
  • het verwerken van klantgegevens door banken of verzekeringen;
  • het verwerken van persoonsgegevens door een zoekmachine voor het tonen van advertenties op basis van hun internetgedrag;
  • verwerking van reisgegevens van mensen die met het openbaar vervoer in een bepaalde stad reizen;
  • het verwerken van actuele locatiegegevens van klanten voor een grote organisatie voor statistische doeleinden
  • het verwerken van gegevens door telefoon- of internetproviders.

Geen sprake van grootschalige verwerking:

  • het verwerken van patiëntgegevens door een individuele arts;
  • het verwerken van persoonsgegevens over veroordelingen en strafbare feiten door een individuele advocaat.
  • Regelmatig en stelselmatig?

De beleidsregels geven beperkt richting aan wat bedoeld wordt met 'regelmatig' en 'stelselmatig'.

Onder 'regelmatig' moet gedacht worden aan;

  • constant of plaatsvindend op bepaalde tussenpozen voor een bepaalde duur;
  • terugkerend of herhalend op gezette tijden.

Van 'stelselmatig' worden de volgende voorbeelden gegeven:

  • op basis van een systeem;
  • vooraf geregeld, georganiseerd of systematisch;
  • plaatsvindend as onderdeel van een algemeen plan om gegevens te verzamelen.

Conclusie
In de praktijk is het niet altijd even duidelijk wanneer de verplichting tot aanstellen van een DPO bestaat. De beleidsregels van de privacytoezichthouders geven aanknopingspunten maar geen concrete invulling. In gevallen van twijfel is het raadzaam om een DPO aan te stellen, zodat handhaving achteraf door de Autoriteit Persoonsgegevens kan worden voorkomen. Wanneer een DPO aangesteld wordt moet wel rekening gehouden worden met naleving van alle plichten uit de AVG. 

Juridisch advies of meer informatie?

Deze blog is geschreven door Danny Koevoets en Eliëtte Vaal. Voor meer informatie kunt u contact opnemen met Eliëtte Vaal. 

 Meer weten over de wijzigingen onder de AVG? Bekijk de reeks blogs over dit onderwerp.

Meld u aan voor onze nieuwsbrieven
Gerelateerde expertises