Nieuwe richtlijnen Artikel 29 Werkgroep voor Data Protection Officers (DPOs)

Op 5 april heeft de Artikel 29 Werkgroep (‘WP29’) een nieuwe versie van de richtlijnen voor (de benoeming van) Data Protection Officers uitgegeven. Eerder had de WP29 deze richtlijnen gepubliceerd op 13 december 2016, welke dus nu een update hebben gehad. In deze blogpost bespreek ik kort wat de belangrijkste gevolgen/wijzigingen zijn van deze update.

Eerste versie richtlijnen DPO

In de eerste versie van de richtlijnen werd al duidelijk wanneer organisaties verplicht een DPO volgens de General Data Protection Regulation (GDPR) moeten aanstellen. Zo is een DPO verplicht in veel gevallen van ‘publieke taakuitoefening’, wanneer de verwerking van persoonsgegevens als ‘kernactiviteit’ of op ‘grote schaal’ bij organisaties plaats vindt,  indien sprake is van ‘regelmatige en systematische monitoring’ en voor speciale categorieën data. En is een DPO niet verplicht, dan wordt hij soms toch aanbevolen als ‘good practice’. Een behoorlijk lastige klus dus voor organisaties om vast te stellen of zij nu wel of niet zo’n DPO nodig hebben… Is dit nu verbeterd?

Belangrijke veranderingen nieuwe richtlijnen

a) DPO voor alle verwerkingen van persoonsgegevens

Een verduidelijking ten opzichte van de eerdere versie van de richtlijnen is dat een DPO moet toezien op alle verwerkingen van persoonsgegevens in een organisatie. Een DPO mag dus niet slechts toezien op bepaalde verwerkingen van persoonsgegevens, terwijl andere verwerkingen buiten zijn scope blijven.

b) DPO mag worden ondersteund door een team

Het is de bedoeling dat een organisatie één verantwoordelijke DPO aanwijst voor al die verwerkingen. Maar die DPO mag wel ondersteund worden door een team. De beschikbaarheid van de DPO moet te allen tijde gegarandeerd zijn (bijvoorbeeld via een hotline of andere veilige manieren van communicatie). Wel dient rekening te worden gehouden met conflicterende belangen bij de DPO en zijn team. Zo mogen deze personen geen senior management posities innemen of hoofd van HR of IT zijn. Met andere woorden: een DPO mag geen dubbele pet op hebben. Ook rollen die te maken hebben met het vaststellen van doelen en middelen voor gegevensverwerking kunnen in de weg staan om als DPO benoemd te worden.

c) Big-data analyse

‘Data-driven marketing activities’ ofwel big-data analyse voor commerciële doeleinden wordt nu expliciet genoemd in de nieuwe richtlijnen. Organisaties die zich bezighouden met dit soort activiteiten moeten dus verplicht een DPO aanstellen.

d) DPO moet gevestigd zijn in de EU

In beginsel moet de DPO in de Europese Unie zijn gevestigd om goed bereikbaar te zijn voor individuen. Toch is het volgens de richtlijnen niet uitgesloten om een DPO buiten de EU te plaatsen, als de DPO zijn taken daardoor efficiënter kan uitoefenen.

e) Aanwijzen externe DPO

De aanwijzing van een externe DPO (op basis van een ‘service-contract’), zoals een advocaat, is mogelijk. Ook in die situatie dient om juridische en organisatorische redenen één persoon de leiding nemen (‘in charge’ te zijn) en dienen conflicterende belangen in het gehele team te worden voorkomen. Zo mag een DPO de organisatie niet vertegenwoordigen voor de rechtbank in zaken die gegevensbescherming aangaan.

f) DPO faciliteert richting toezichthouder

Een DPO fungeert als dé contactpersoon voor de toezichthouder. De DPO faciliteert de toezichthouder met het aanleveren van documentatie en informatie over de uitvoering van zijn taken, terwijl hij is gebonden aan geheimhouding. Deze geheimhouding is niet zo strikt dat de DPO geen advies van de toezichthouder mag vragen. In tegendeel zelfs, een DPO moet gestimuleerd worden om voor welk probleem dan ook contact te zoeken met de toezichthouder.

g) FAQ

Aangezien de WP29 via de nationale toezichthouders te maken kreeg met veel vragen – vanwege de onduidelijke/open normen – heeft de WP29 nu voorzien in een FAQ. In de FAQ worden allerlei voorbeelden genoemd van situaties waarin een DPO verplicht is.

Vooraankondiging Kneppelhout DPO-assessment

Een goede poging dus van de WP29 om meer duidelijkheid te scheppen, maar het blijft voor organisaties lastig om met zekerheid te bepalen of zij wel of niet verplicht een DPO moeten aanstellen. Dit kan dus beter. Kneppelhout werkt aan een oplossing hiervoor, zodat straks elke organisatie aan de hand van een laagdrempelige tool kan uitvinden of zij een DPO nodig heeft. Houd daarom onze website in de gaten!

Op de hoogte blijven?

Schrijf je in en ontvang de laatste nieuwsupdates, artikelen, blogs en evenement notificaties.