De Dubbelrol van de DPO: Toezichthouder of Adviseur?

Recent vond PrivCon2023 plaats en uiteraard waren wij met het Data Protection Institute (DPI) aanwezig op deze nederlandstalige privacyconferentie.

Een steeds terugkerend thema was de rol van de Data Protection Officer of DPO en in het bijzonder een ogenschijnlijk verschil in interpretatie tussen Nederlandse en Belgische sprekers en deelnemers, over hoe de functie van DPO ingevuld moet worden.

1. Is de Data Protection Officer (DPO) toezichthouder of adviseur?

De DPO, ook wel de functionaris voor de gegevensbescherming genoemd, houdt klassiek toezicht over alles wat te maken heeft met de verwerking van persoonsgegevens binnen een organisatie en moet toezien op de naleving van de regels vervat in de Algemene Verordening Gegevensbescherming (AVG; ook gekend als GDPR). Het is over de invulling van het woord “toezien” dat er geen eensgezindheid bestaat tussen de twee buurlanden.

In Nederland wordt de DPO gezien als een interne toezichthouder. Die interne toezichthouder moet zo onafhankelijk mogelijk zijn. Dit betekent dat deze niet betrokken mag zijn bij operationele vraagstukken zoals de uitvoering van Data Protection Impact Assessment’s (DPIA’s), geen bewustzijnssessies geeft en slechts vanop afstand risico’s signaleert.

Eén van de Nederlandse sprekers maakte de vergelijking vanuit het bekende Three Lines of Defense model: de DPO is daarin eigenlijk een Fourth Line en kijkt van bovenaf mee.

Dit in contrast met de Belgische insteek waar de DPO zich wat meer onder de mensen begeeft. De DPO is in de eerste plaats een adviseur en voorlichter binnen het bedrijf, daarna volgt (mogelijk) toezicht. De nadruk ligt meer op het gekend zijn binnen de onderneming, bewustzijn creeëren, adviseren en zoveel mogelijk een aanspreekpunt te zijn zodat de Algemene Verordening Gegegvensbescherming  in alle lagen van de organisatie juist toegepast wordt.

2. Wat zegt de Algemene Verordening Gegevensbescherming (AVG)?

Met zulke tegenstelde opvattingen kan het haast niet anders dan dat de ene gelijk heeft, en de andere niet, toch? Tijd om de AVG er zelf bij te halen, waarbij het vooral draait om deze fraseringen uit art. 39.1.a. en b.:

De functionaris voor gegevensbescherming vervult ten minste de volgende taken:

  1. de verwerkingsverantwoordelijke of de verwerker en de werknemers die verwerken, informeren en adviseren over hun verplichtingen uit hoofde van deze verordening en andere Unierechtelijke of lidstaatrechtelijke gegevensbeschermingsbepalingen;
  2. toezien op naleving van deze verordening, van andere Unierechtelijke of lidstaatrechtelijke gegevensbeschermingsbepalingen en van het beleid van de verwerkingsverantwoordelijke of de verwerker met betrekking tot de bescherming van persoonsgegevens, met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het bij de verwerking betrokken personeel en de betreffende audits;

De AVG geeft, hoe kan het ook anders, de mogelijkheid voor interpretatie. “Informeren en adviseren over hun verplichtingen” kan je lezen als het beperkt adviseren t.a.v. de verplichtingen zoals ze in de wet staan, een interne toezichthoudende autoriteit zoals de Gegevensbeschermingsautoriteit (GBA – België)/ Vlaamse Toezichtscommissie (VTC – Vlaanderen)/Autoriteit Persoonsgegevens (AP- Nederland). Informeren en adviseren kan echter ook meer hands-on bekeken worden.

Hetzelfde geldt voor art 39.1.b: is de DPO nu ook (deels) zelf verantwoordelijk voor die bewustmaking en opleiding, of moet deze slechts toezien op de uitvoering ervan?

Overweging 97 spreekt dan weer over de taken van een DPO om “de verwerkingsverantwoordelijke (VWV) of de verwerker bij te staan bij het toezicht op de interne naleving van deze verordening.”. Bijstaan insinueert dat de DPO het toezicht niet zelf uitvoert, maar tegelijk is dat toezicht uitvoeren ook een vorm van bijstaan.

3. Wat zegt de European Data Protection Board (EDPB)?

Als we op zoek zijn naar duidelijkheid, kunnen we natuurlijk de richtlijnen van de EDPB, het toezichthoudend orgaan op Europees niveau, erbij nemen. Richtlijn wp243 over de DPO is weliswaar nog geschreven door de voorganger van de EDPB, de Working Party 29 (WP 29), maar werd nadien wel bekrachtigd door de EDPB. Punt 4.1 bevat nadrukkelijk verwijzingen naar het informeren en adviseren, zonder daarbij te vermelden dat het enkel om de verplichtingen zou gaan en benoemt zelfs specifiek ook “het geven van aanbevelingen”.

Ook in andere verwijzingen doorheen de richtlijn valt enige dubbelzinnigheid te bespeuren: zo moet het register van verwerkingsactiviteiten in principe door de VWV worden bijgehouden, maar kan het ook de functie van de DPO zijn om dit register bij te houden, dit dan onder toezicht van de VWV. De toelichting op de rol van de DPO bij een DPIA (Gegevensbeschermingseffectbeoordeling, Data Protection Impact Assessment) volgt hetzelfde stramien: het is de taak van de VWV en niet de DPO om een DPIA uit te voeren, maar de DPO moet er wel bij helpen. De opsomming die daarop volgt geeft de DPO de ruimte om bij ieder aspect van de DPIA betrokken te zijn, inclusief methodologie, uitbesteding en te nemen waarborgen.

4.Conclusie: het hangt er vanaf…

Kortom, welke strekking je ook genegen bent: je gaat in de beschikbare lectuur genoeg aanknopingspunten vinden om jouw strekking te onderbouwen en het is dus geen kwestie van gelijk of ongelijk. Wellicht moeten we het met gezond verstand, wat pragmatischer bekijken, termen die de WP29 zelf ook gebruikte in haar richtlijn.

Wat werkt het beste voor onze organisatie? Waar liggen de grootste risico’s? Ook zal de maturiteit van een organisatie hierin meespelen. De keuze voor een rol als louter toezichthouder, in een organisatie die daar nog lang niet aan toe is, brengt immers ook risico’s met zich mee. Omgekeerd zal een organisatie die reeds een Chief Privacy Officer heeft, met een privacyteam van 10 mensen, veel meer gebaat zijn bij een DPO die voornamelijk die rol van toezichthouder invult.

Hoe dan ook, de gemaakte keuzes moeten goed worden vastgelegd. Iedere DPO hoort een goedgekeurde functieomschrijving te hebben, die duidelijkheid verschaft over de invulling van de taken en die wanneer nodig ook kan worden voorgelegd aan toezichthouders. Dit geeft de VWV en de DPO beiden meer zekerheid en duidelijkheid.

***

Op de hoogte blijven van andere alle trends in de wereld van gegevensbescherming? Overweeg een abonnement op Stay Tuned of deelname aan één van onze cursussen.
Schrijf je hier in op onze nieuwsbrief voor meer relevante privacyinformatie rechtstreeks in je mailbox!
Newsletter
 

Blijf op de hoogte via onze nieuwsbrief

Blijf in contact met ons laatste nieuws, aanbiedingen en beschikbare opleidingen.

Newsletter
x

Blijf op de hoogte via onze nieuwsbrief

Blijf in contact met ons laatste nieuws, aanbiedingen en beschikbare opleidingen.

Newsletter
x

Schrijf je in