Topkwaliteiten van de functionaris voor de gegevensbescherming (FG) voor de AVG

Op 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van kracht. Vanaf dan worden veel organisaties verplicht een nieuwe functie te vormen: die van de functionaris voor de gegevensbescherming (FG). Deze persoon moet goede connecties hebben, zeer effectief te werk gaan en goed bereikbaar zijn.

  • Heeft uw bedrijf een FG nodig?
  • Wat zijn de verantwoordelijkheden van de FG en het bedrijf?
  • Over welke kwaliteiten en vaardigheden moet een FG beschikken?

De AVG is de meest ingrijpende en wijd beïnvloedende verordening sinds lange tijd. Met 99 artikelen is het complex en de boetes bij schending ervan zijn fors: tot 4% van de wereldwijde omzet of tot € 20 miljoen, het hoogste geldt.

Op de lange termijn kan de AVG veel voordelen hebben (meer consumentenvertrouwen, eenvoudiger gegevens delen binnen een systeem), maar analisten uit de meeste branches verwachten een onrustige periode waarin bedrijven proberen te voldoen aan de eisen.

Zoals elke nieuwe wet is deze nog niet getest. Er zijn nog geen definities gegeven aan belangrijke termen of deze moeten nog voorkomen in de rechtbanken. Advocaten zullen het nog jaren hebben over belangrijke punten voordat we volledig inzicht krijgen in de AVG.

Denk echter niet dat als u niet opereert in de EU, de AVG niet op u van toepassing is. Als uw bedrijf gegevens heeft van een ingezetene van de EU, ongeacht de locatie van uw bedrijf, die gegevens of de ingezetene, dan is de AVG nog altijd op u van toepassing. Als uw bedrijf bijvoorbeeld gevestigd is in Zimbabwe en gegevens bewaart in de VS op Azure-servers over iemand die in China woont maar een ingezetene is van Nederland, dan is de AVG wel op u van toepassing.

Laten we beginnen bij wat er tot nu toe bekend is over de AVG uitgaande van de inhoud.

(Als u binnen uw bedrijf (mede)verantwoordelijkheid draagt over regelnaleving, raad ik u aan zelf belangrijke artikelen over de AVG te lezen. Ze zijn verrassend duidelijk. EUR-Lex is een geweldig kenniscentrum met alle brontekst van EU-wetgeving in 24 talen. Aangezien er echter nagenoeg alles op staat, kan het een uitdaging zijn om er doorheen te navigeren. EUGDPR.org en Privacy-Regulation.eu zijn wat gebruiksvriendelijker wat betreft leesbaarheid en doorzoekbaarheid.)

Heeft uw bedrijf een FG nodig?

In AVG-artikel 37 staat dat "de aanwijzing van een functionaris voor gegevensbescherming verplicht [is]" "wanneer de kerntaken […] bestaan uit verwerking op grote schaal van speciale categorieën van gegevens".

Deze zin staat vol uitdrukkingen die vragen om meer uitleg:

  • kerntaken: dit wordt niet goed gedefinieerd. EU-advocaten die momenteel over dit onderwerp bloggen, neigen naar een brede interpretatie. Als u dus gebruikersactiviteit op uw website bijhoudt om betere diensten of advertenties te leveren, dan valt dat er waarschijnlijk ook onder.
  • speciale categorieën van gegevens: dit wordt vrij duidelijk gedefinieerd in artikel 9, maar voor de volledigheid: "persoonsgegevens waaruit iemands raciale of etnische achtergrond, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of een lidmaatschap van een vakbond blijken, en de verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een natuurlijke persoon, gegevens over gezondheid of gegevens over het seksleven of de seksuele geaardheid van een natuurlijke persoon".
  • grote schaal: hierover bestaat geen consensus. Juridische bloggers raden aan hier zeer terughoudend mee om te gaan en dat als u persoonsgegevens van een klant verzamelt, u een FG aanwijst. Deze term zal na verloop van tijd (en gerechtelijk oordeel) verduidelijkt worden.
  • Neem artikel 37 dus eens goed door met uw advocaat. Als een regelgever een audit bij u uitvoert en concludeert dat u een FG had moet hebben, bent u mogelijk onderworpen aan administratieve boetes onder de AVG van tot 2% van de wereldwijde omzet of tot € 10 miljoen, indien dit cijfer hoger is. [Artikel 83]

Enkele punten die de aanwijzing van een FG echter eenvoudiger maken:

  • Het is "een concern [toegestaan] één enkele functionaris voor gegevensbescherming [aan te stellen], op voorwaarde dat deze persoon "vanuit elke vestiging makkelijk te contacteren is"". Als u een groep verwante bedrijven hebt of het moederbedrijf bent van een aantal dochterbedrijven, kunt u volstaan met één FG.
  • De FG mag een derde partij zijn. Ik verwacht dat advocatenkantoren en cybersecuritybedrijven in de EU FG-functies zullen uitbesteden. Een dergelijk aanbod zou bijzonder aantrekkelijk kunnen zijn voor kleinere en middelgrote bedrijven.

Wat zijn de verantwoordelijkheden van de FG en het bedrijf?

Krachtens AVG-artikel 38 "brengt [de FG] rechtstreeks verslag uit aan de hoogste leidinggevende" van het bedrijf.

Transparantie en een correcte rapportagestructuur is al jaren de vloek van de informatiebeveiligingsbranche. Wanneer de Chief Information Security Officer (CISO) aan meerdere onderliggende lagen rapporteert, soms lager dan de Chief Information Officer (CIO) (directe belangenverstrengeling) of zelfs nog lager in de organisatie, heeft de beveiliging geen zeggenschap over de hoogste leidinggevenden. Dat heeft geleid tot de wereld van vandaag, waarin schendingen om de zoveel dagen worden gerapporteerd. Het had simpelweg geen prioriteit. Met de AVG is echter dat verleden tijd. De FG moet rapporteren aan de algemeen directeur, voorzitter of het bestuur; de bovenste laag. Dit probleem kan niet langer worden verdoezeld.

Het gaat zelfs verder: "[organisaties] ondersteunen de [FG] door hem toegang te verschaffen tot persoonsgegevens en verwerkingsactiviteiten en door hem de benodigde middelen ter beschikking te stellen voor het vervullen van deze taken en het in stand houden van zijn deskundigheid."

Dus de FG moet worden bekostigd, bemand en getraind. Pardon? Dit is jaren buiten beschouwing gelaten voor beveiliging, maar nu lijkt het erop dat er wordt geëist dat zaken op de juiste manier worden gedaan. Dit is ook geweldig voor beveiliging. Een interessante definitie van beveiliging is "de technische en procedurele methoden om privacy te waarborgen".
 

AVG-artikel 39 bevat de kernverantwoordelijkheden van de FG:

  • "de verwerkingsverantwoordelijke of de verwerker en de werknemers die verwerken, informeren en adviseren over hun verplichtingen"
  • "toezien op naleving van de AVG"
  • "optreden als contactpunt voor de toezichthoudende autoriteit inzake […] aangelegenheden"
  • bovendien moeten betrokkenen contact kunnen opnemen met de FG om zaken te rapporteren en deze op te lossen [art. 38]
     

Over welke kwaliteiten en vaardigheden moet een FG beschikken?

  • Iemand met ervaring binnen uw organisatie en met haar activiteiten
  • Iemand met ervaring in privacy-/regelgevingskaders
  • Iemand met geloofwaardigheid en goed contact met het bestuur, de algemeen directeur en regelgevers
  • Iemand die toegankelijk en behulpzaam is voor betrokkenen
  • Iemand die in staat is onafhankelijk te zijn
  • Iemand met voldoende kennis over informatiebeveiliging om initiatieven voor privacyverbetering te bevorderen

Oftewel, u staat voor een onmogelijke zoektocht.

 

De vermoedelijke eerste ronde van het rekruteringsproces voor de FG:

De meeste organisaties zullen waarschijnlijk een hooggeplaatste medewerker aanwijzen die uw bedrijf goed kent en regelgevende ervaring heeft. Iemand van de leiding, de juridische afdeling, een auditor etc.; iemand die beschikt over de 'meeste' vereisten.

Wees eerlijk bij de beoordeling van de kwaliteiten van uw nieuwe FG. Wij als branche zullen die persoon moeten ondersteunen.

Nieuwe FG's zullen verse informatie nodig hebben en vaardigheden en hulpmiddelen voor de elementen die ze niet al hebben, wat ook geldt voor personeel dat de FG moet ondersteunen.

EXIN helpt u hierbij.

 

Quinn R. Shamblin

Chief Examiner for EXIN’s Privacy and Data Protection Portfolio

CISM, CISSP, ITIL, PMP, GCFA

Quinn Shamblin