Wat is een Privacy Officer?
Een Privacy Officer (PO) is de persoon binnen een organisatie die is aangesteld om ervoor te zorgen dat de privacyregels worden nageleefd. De privacywetgeving, vastgelegd in de Algemene verordening gegevensbescherming (AVG), is behoorlijk strikt en overtreding van die regels kan je organisatie op aanzienlijke boetes komen te staan van de controlerende autoriteit, de Autoriteit Persoonsgegevens (AP).
Wat doet een Privacy Officer?
Een Privacy Officer heeft verschillende taken. Zo is hij het aanspreekpunt van iedereen binnen je organisatie op het gebied van privacy, gegevensverwerking en beveiliging van persoonsgegevens. Ook informeert hij alle medewerkers aan welke regels ze zich moeten houden. Zijn belangrijkste taak is echter het toezien op de naleving binnen je organisatie van de AVG-regels. Daarvoor heeft hij verschillende instrumenten, zoals een DPIA (ook wel PIA of GEB genoemd)
Daarnaast is de PO het aanspreekpunt voor de AP en ook contactpersoon van je organisatie voor de betrokkenen, de personen van wie de persoonsgegevens worden verwerkt. Ook treedt hij op wanneer er binnen de organisatie sprake is van een datalek en moet hij het Protocol toepassing dat daarop van toepassing is. Tot slot kan hij je organisatie adviseren over interne procedures rondom databescherming en beleidsmaatregelen betreffende dataverwerking.
Privacyfunctionaris
Een Privacy Officer kan verschillende benamingen hebben, zoals privacyfunctionaris. De functie is echter niet hetzelfde als een Functionaris gegevensverwerking (FG) of Data Protection Officer (DPO), die termen zijn namelijk wettelijk vastgelegd.
Verschil Privacy Officer en DPO
Een DPO is net als de PO een medewerker die toezicht houdt op naleving van de AVG-wetgeving. Het belangrijkste verschil is echter dat de AVG specifieke taken en verantwoordelijkheden aan de DPO opdraagt. Zo moet de DPO bijvoorbeeld aangemeld worden bij de Autoriteit Persoonsgegevens. In tegenstelling tot de PO is de DPO dus geen vrijblijvende functie. Kies er dan ook niet voor om de medewerker die binnen je organisatie toezicht houdt op AVG-naleving de titel DPO te geven, als je daartoe niet verplicht bent. Omdat de AVG strenge eisen stelt aan de DPO en je daarop ook wordt afgerekend, doe je er in dat geval verstandiger aan om een Privacy Officer aan te stellen.
PO naast DPO
Je kunt er ook voor kiezen om een PO naast een DPO aan te stellen, als je organisatie verplicht een DPO nodig heeft. Hierdoor vullen ze elkaar dan aan. De verdeling kan er als volgt uitzien:
- de PO ziet toe op de ontwikkeling, implementatie en handhaving van je privacybeleid
- de FG houdt hier vanuit een onafhankelijke positie toezicht op, adviseert en verzorgt trainingen van je medewerkers
Is een Privacy Officer verplicht?
Nee, zoals uit bovenstaande blijkt is een Privacy Officer niet wettelijk verplicht. De AVG is echter een complexe wet die vaak wordt veranderd. Gezien de gevolgen die het voor je organisatie kan hebben als de AVG-wetgeving niet wordt nageleefd, is het wel verstandig een medewerker aan te stellen die hier verstand van heeft en je organisatie kan adviseren en ondersteunen als het om privacygerelateerde onderwerpen gaat.
De wet is complex en verandert vaak. Vraag een advocaat voor juridisch advies.