Tijdens Privcon 2024 presenteerde Anouk Focquet een gesmaakte sessie over de relatie tussen de DPO (Data Protection Officer) en de Gegevensbeschermingsautoriteit (GBA). Ze behandelde diverse belangrijke thema’s en gaf praktische tips aan DPO’s over hoe om te gaan met onderzoeken door de inspectiedienst.
Onderzoeksbevoegdheden van de Inspectiedienst
Anouk zoomde in op de onderzoeksbevoegdheden van de inspectiedienst. Ze legde uit dat een inspectiedienst soms direct de CEO of de DPO aanspreekt, maar adviseerde dat de communicatie meestal door de DPO zou moeten worden overgenomen als deze is aangesteld. Dit bevordert een consistente aanpak en samenwerking met de autoriteit.
Geheimhouding en vertrouwelijkheid
Een belangrijk onderdeel van de presentatie was de kwestie van geheimhouding. Er bestaat onduidelijkheid over ten aanzien van wie deze vertrouwelijkheid precies geldt. Volgens de richtsnoeren van de EDPB (European Data Protection Board) geldt de verplichting tot geheimhouding voornamelijk tegenover de betrokkenen. Vanuit de zaal kwam de vraag of dit ook van toepassing is op de relatie met de GBA, bijvoorbeeld wanneer een DPO informatie uitwisselt met de autoriteit die geheim moet blijven voor het bedrijf. Anouk benadrukte dat dit volgens haar inzichten niet kan: een bedrijf moet op de hoogte zijn van wat een DPO tegen de autoriteit vertelt, aangezien het bedrijf verantwoordelijk blijft.
Rol van de bedrijfsjurist
Er werd ook ingegaan op de mogelijke rolverdeling tussen een DPO en een bedrijfsjurist. Volgens Anouk is er geen onverenigbaarheid tussen beide rollen, omdat ze allebei een adviserende functie vervullen. Daarnaast vallen de adviezen van een bedrijfsjurist onder vertrouwelijkheid, omdat deze betrekking hebben op juridische posities. Dit is anders dan de handelingen van een DPO, die onder de accountability-plicht van de organisatie vallen.
Lange doorlooptijden bij de Geschillenkamer
Anouk gaf haar mening over dossiers die lange tijd bij de Geschillenkamer blijven liggen. Volgens haar schendt een groot tijdsverloop tussen de feiten en de verdediging de rechten van de verdediging. Ze merkte op dat het schrappen van de termijn van 30 dagen waarbinnen een opdracht kan worden gegeven van de Geschillenkamer naar de Inspectiedienst een gemiste kans is, wat volgens haar bijdraagt aan onnodige vertragingen.
Nieuwe GBA-wetgeving: Fishing Expeditions en Zelfincriminatie
Anouk besprak tijdens haar sessie de recente veranderingen in de wetgeving rond de GBA, die de Inspectiedienst meer vrijheid geven om onderzoeken in te stellen. Een belangrijk thema hierbij was het concept van “fishing expeditions,” waarbij inspecteurs op zoek gaan naar mogelijke overtredingen zonder specifieke aanwijzingen. Anouk benadrukte dat, hoewel de wet deze mogelijkheid openlaat, er altijd een vorm van concrete aanwijzing moet zijn voordat een dergelijk onderzoek wordt gestart. Haar advies aan DPO’s was om bij verzoeken van de inspectiedienst steeds bereidheid tot samenwerking te tonen, maar tegelijk te vragen naar de specifieke aanleiding van het onderzoek om te waarborgen dat dit binnen de juiste grenzen blijft.
Naast de fishing expeditions wees Anouk op het verbod op gedwongen zelfincriminatie. Dit principe houdt in dat, hoewel een DPO verplicht is om mee te werken met een onderzoek, er grenzen zijn aan de aard van de vragen die gesteld mogen worden. In strafrechtelijke contexten kan niemand worden gedwongen om zichzelf te beschuldigen. Anouk verduidelijkte dit met voorbeelden: vragen zoals “Was u aanwezig op de meeting?” mogen worden gesteld, maar vragen die naar intentie peilen, zoals “Waarom was u niet aanwezig?” zijn niet toegestaan. Ze legde uit dat het cruciaal is om het onderscheid te kennen tussen feitelijke en interpretatieve vragen, zodat DPO’s weten wanneer ze zich kunnen beroepen op het recht om bepaalde informatie niet te verstrekken.
Praktische tips voor schriftelijke bevraging en onderzoeken
Anouk besprak de schriftelijke bevraging als een veelgebruikt instrument van de inspectiedienst. Ze adviseerde om bij een verzoek om inzage in het register van verwerkingsactiviteiten alleen de relevante delen te verstrekken, zoals bijvoorbeeld de verwerkingen van een specifieke afdeling (zoals HR) wanneer de vragen daarover gaan. Hoewel Anouk zelf nog geen ervaring heeft met een onderzoek ter plaatse in dit vakgebied, gaf ze enkele richtlijnen en benadrukte dat bijstand door een advocaat mogelijk is. Ze ging ook in op het verhoor door de inspectiedienst, dat wel vaker voorkomt. Ook hierbij kan een advocaat een ondersteunende rol spelen. Anouk waarschuwde dat vragen tijdens een verhoor soms anders worden gesteld dan vooraf is aangegeven. Ze adviseerde om erop te letten dat de oorspronkelijke vraag correct wordt vastgelegd in het proces-verbaal, om misverstanden te voorkomen en om de juiste context van de antwoorden te waarborgen.
Stay Tuned
Anouk Focquet’s scherpe inzichten en praktijkgerichte adviezen maakten haar sessie tot één van de hoogtepunten van Privcon 2024. Ze gaf de DPO’s waardevolle handvatten om hun rol met meer vertrouwen uit te voeren, van het omgaan met inspecties tot de valkuilen van fishing expeditions. Maar dit smaakt naar meer: Anouk zal in het tweede kwartaal van volgend jaar opnieuw haar expertise delen tijdens onze Stay Tuned sessie. Na haar sterke bijdrage op Privcon kijken we nu al uit naar de frisse inzichten die ze daar ongetwijfeld zal brengen.