Kunnen DPO’s en toezichthouders beter samenwerken?

In de AVG is opgenomen dat een Data Protection Officer (DPO) als contactpunt fungeert voor toezichthoudende autoriteiten. Hoewel dit een belangrijk aspect van de functie van een DPO is, heerst er in sommige gevallen onduidelijkheid over de invulling van deze samenwerking. De opvattingen over de samenwerking lopen uiteen. Er is nood aan een duidelijker kader om deze relatie te ondersteunen.

Mogelijke hindernissen in de samenwerking

Enerzijds heeft de DPO een wettelijke verplichting om samen te werken met de toezichthouder, wat een open en transparant contact impliceert. Anderzijds wordt de DPO vaak aangesteld door een bedrijf, waar hij of zij als werknemer of extern adviseur werkzaam is. Dit brengt spanningen met zich mee: een bedrijf zal niet per se willen dat gevoelige bedrijfsinformatie proactief (op initiatief van de DPO, bijvoorbeeld bij een vraag tot overleg) wordt gedeeld met de toezichthouder. De toezichthouder zelf, die onafhankelijk moet kunnen werken, zal op zijn beurt ook voorzichtig zijn bij het verstrekken van antwoorden aan de DPO, gezien elk standpunt sterk afhankelijk kan zijn van feitelijke omstandigheden die mogelijk nog niet volledig bekend zijn tijdens het beantwoorden van een adviesvraag.

In juridische discussies wordt hier en daar verwezen naar aspecten zoals vertrouwelijkheid van de bedrijfsinformatie en zelfincriminatie. Vertrouwelijkheid betekent dat een DPO door de verwerkingsverantwoordelijke gevraagd kan worden om bepaalde informatie vertrouwelijk te houden. Die vraag gaat in tegen het principe van volledige en transparante samenwerking met de toezichthouder. Het principe van zelfincriminatie houdt in dat een persoon of een vertegenwoordiger van een organisatie niet verplicht mag worden zichzelf te beschuldigen. Dit kan een rol spelen in de contacten tussen DPO’s en toezichthouders: de DPO moet weliswaar meewerken aan onderzoeken, maar kan niet gedwongen worden om informatie te delen die het bedrijf in een nadelige positie zou plaatsen.

Verschillen tussen Europese toezichthouders: Van de AP tot de CNIL

Het contact tussen DPO’s en toezichthouders verschilt sterk per land. De Nederlandse Autoriteit Persoonsgegevens (AP) nodigt DPO’s bijvoorbeeld actief uit om contact te leggen en vragen te stellen. Dit actieve contact blijkt ook uit de manier waarop de Franse CNIL DPO’s ondersteunt: zo heeft CNIL een speciaal team ingericht dat in 2023 maar liefst 700 verzoeken om advies en 3.900 telefoongesprekken met DPO’s heeft afgehandeld. Deze cijfers zijn indrukwekkend, maar zeggen nog weinig over de kwaliteit van het contact en de impact van deze ondersteuning op het werk van de DPO’s in de praktijk.

Er is daarom meer inzicht nodig in de verschillende benaderingen en in de effecten van de samenwerking tussen DPO’s en toezichthouders. Een beter begrip van hoe deze relaties functioneren in verschillende landen kan mogelijk leiden tot verbeteringen in het algemene kader, zodat de samenwerking meer eenduidig en effectief kan verlopen.

Het belang van goed contact tussen DPO en toezichthouder

Uit een recent onderzoek naar de jobtevredenheid onder DPO’s kwam naar voren dat een constructief contact met de toezichthouder een belangrijk aandachtspunt is. DPO’s en toezichthouders hebben elk hun eigen taken en verantwoordelijkheden, maar delen een gemeenschappelijk doel: het beschermen van de gegevens van burgers, klanten, en andere betrokkenen. Ze werken samen om de betrokkenen, voor zover mogelijk, controle te geven over hun gegevens. Een goede samenwerking tussen DPO’s en toezichthouders kan bijdragen aan een effectievere gegevensbescherming en een grotere bewustwording over privacyrisico’s.

Toch moet bij elke samenwerking de onafhankelijkheid van beide partijen strikt worden gerespecteerd. Mijn ervaring bij de Vlaamse Toezichtcommissie heeft me geleerd hoe waardevol een respectvolle, onafhankelijke samenwerking kan zijn.

Een oproep tot debat

Om te waarborgen dat de gegevensbescherming en de rechten van betrokkenen daadwerkelijk voorop staan, is een open dialoog tussen DPO’s en toezichthouders essentieel. Een debat over hoe deze partijen het best kunnen samenwerken, zonder in te boeten op hun onafhankelijke positie, zou een waardevolle stap zijn in het verbeteren van de bescherming van persoonsgegevens.