Functionaris gegevensbescherming

Een functionaris gegevensbescherming (ook wel: data protection officer of data privacy officer) is iemand die binnen een bedrijf of organisatie verantwoordelijk is voor naleving van de regelgeving die voortvloeit uit de Algemene Verordening Gegevensbescherming (AVG). Sinds de inwerkingtreding van deze wet op 25 mei 2018 zijn bepaalde organisaties verplicht een functionaris gegevensbescherming aan te stellen.

Als functionaris gegevensbescherming draag je er zorg voor dat een bedrijf of organisatie handelt conform de geldende wet- en regelgeving rondom de bescherming van persoonsgegevens. Daaruit komt een breed takenpakket voort, dat kan bestaan uit de volgende activiteiten:

• Vertalen van de AVG-regelgeving naar de praktijk, zodat processen, systemen en diensten in overeenstemming zijn met de wet.
• Ontwikkelen en up-to-date houden van (privacy)beleid en protocollen voor gegevensverwerking en datalekken.
• Opstellen van requirements, handreikingen en gedragscodes rondom AVG waar collega’s binnen de organisatie mee uit de voeten kunnen.
• Erop toezien dat het privacybeleid wordt geïmplementeerd en nageleefd.
• In kaart brengen van activiteiten die raakvlakken hebben met gegevensverwerking en dataprivacy van zowel medewerkers als eventuele klanten.
• Regelen van verwerkersovereenkomsten en andere benodigde contracten en documentatie.
• Organiseren of uitvoeren van eventuele Privacy Impact Assessments (PIA) of andersoortige audits en het bijhouden van een PIA-register.
• Stimuleren van bewustwording onder collega’s om te handelen volgens de AVG-principes en hen daarin coachen en ondersteunen.
• Coördineren van datalekken: hiervan melding maken bij de Autoriteit Persoonsgegevens en hieraan (intern) opvolging geven.
• Bijhouden van ontwikkelingen rondom privacywetgeving en hieraan gelieerde juridische uitspraken.
• Rapporteren en verantwoording afleggen over het beleid rondom gegevensbescherming aan het management.

Hoe je exact invulling geeft aan de functie en welke verantwoordelijkheden er precies bij komen kijken, zal verschillen van bedrijf tot bedrijf en van organisatie tot organisatie. Is er sprake van het op grote schaal verwerken van bijzondere persoonsgegevens, dan kan er bijvoorbeeld een sterkere nadruk worden gelegd op informatieveiligheid. Dit zal bijvoorbeeld het geval zijn als je functionaris gegevensbescherming bent in een zorgorganisatie.

Voor overheden en andere publieke organisaties is het verplicht om een functionaris voor de gegevensbescherming aan te stellen. Als data protection officer werk je dan ook vaak in dienst van een ministerie, gemeente, provincie, ziekenhuis of onderwijsinstelling.

Ook organisaties en bedrijven die vanuit hun core business op grote schaal persoonsgegevens verwerken, moeten een functionaris gegevensbescherming hebben. Denk aan organisaties die individuele personen of hun activiteiten volgen via bijvoorbeeld cameratoezicht of persoonvolgsystemen.

Verder zijn organisaties die op grote schaal bijzondere persoonsgegevens (bijvoorbeeld informatie over iemands gezondheid, politieke opvatting of ras) verwerken, verplicht een functionaris gegevensbescherming te benoemen.

Omdat het verwerken en beveiligen van persoonsgegevens doorgaans via software gebeurt, zul je veel schakelen met de IT-afdeling. Bijvoorbeeld met de CIO, webdevelopers (zoals .NET-developers, PHP-developers en JavaScript-developers) en functioneel beheerders. Ook zul je veel overleggen met het management over implementatie en aanscherping van beleid. En omdat je organisatiebreed werkt hebt en heel veel afdelingen te maken hebben met verwerking van persoonsgegevens, heb je met personen door de hele organisatie heen contact.

Er is geen specifieke opleiding voor functionaris gegevensbescherming. Het is handig als je een juridische achtergrond hebt, omdat een grondige kennis van de wetgeving vereist is en je een vertaling hiervan moet kunnen maken naar de werkvloer. Maar een juridische opleiding is niet vereist om de functie te kunnen uitvoeren. Wel is een academisch werk- en denkniveau op de meeste plekken vereist.

Afhankelijk van de grootte van de organisatie en de schaal waarop (bijzondere) persoonsgegevens worden verwerkt, zul je de functie fulltime of parttime invullen. Het kan zijn dat je vanuit je huidige functie aangewezen bent als functionaris voor de gegevensbescherming. Meestal heb je dan al wel ervaring met informatiebeveiliging en privacy en bescherming van gegevens.

Vervul je de functie parttime, dan zul je van je werkgever de tijd en de middelen moeten krijgen om je werk als data protection officer goed uit te voeren en je kennis bij te spijkeren up-to-date te houden.

Als functionaris gegevensbescherming is het in de eerste plaats noodzakelijk dat je alle kennis rondom privacybescherming in huis hebt en dat je affiniteit hebt met IT en informatiebeveiliging, Verder is het handig als je de volgende eigenschappen hebt;

• Resultaatgericht
• Pragmatisch en initiatiefrijk
• Advies- en communicatieve vaardigheden
• Probleemoplossend vermogen
• Punctueel en integer
• Tactvol