Als externe Functionaris Gegevensbescherming (FG) en Privacy Consultant help ik bedrijven bij het beveiligen van hun data, met een speciale focus op persoonsgegevens. De Algemene Verordening Gegevensbescherming (AVG) vormt de basis van mijn werk, maar ik benader deze wetgeving altijd op een praktische manier, zowel vanuit mijn eigen perspectief als dat van de organisatie.
Mijn praktische benadering van de AVG
Een goed voorbeeld is artikel 6(1)(f) van de AVG. Dit artikel stelt dat je persoonsgegevens mag verwerken als de belangen of de fundamentele rechten en vrijheden van de betrokkenen niet zwaarder wegen dan de belangen van het bedrijf. Om dit te bepalen, moet je eerst het (lange) artikel interpreteren en begrijpen, en vervolgens een belangenafweging maken. Hiervoor kun je gebruikmaken van verschillende hulpmiddelen, zoals richtlijnen van de European Data Protection Board, de normuitleg van de Autoriteit Persoonsgegevens (AP), of die van de Engelse toezichthouder ICO, en de Legitimate Interest Assessment (LIA). Mijn praktische benadering van deze belangenafweging begint met een simpele vraag: "Zou je het erg vinden als jouw persoonsgegevens of die van je kinderen op deze manier verwerkt zouden worden?" Dit levert vaak al snel een goede uitkomst op, die natuurlijk wel gedocumenteerd moet worden.
Rol van de FG: informeren en adviseren
In gesprekken met andere FG's hoor ik vaak dat bepaalde handelingen niet toegestaan zouden zijn volgens de AVG, bijvoorbeeld als dit blijkt uit een Data Protection Impact Assessment (DPIA). Ook zijn er FG’s die vinden dat ernstige tekortkomingen direct gemeld moeten worden bij de AP. Ik denk daar anders over. Ik ben van mening dat mijn rol als FG is om de organisatie waar ik voor werk te informeren over tekortkomingen en adviezen te geven. Als een audit of DPIA mogelijke tekortkomingen aantoont, leg ik uit wat deze zijn en wat de risico’s zijn voor de betrokkenen en voor de organisatie zelf, zoals mogelijke reputatieschade. Uiteindelijk moeten de hoogst verantwoordelijken van de organisatie bepalen hoe ze met deze risico's omgaan. En als ik dan denk dat de organisatie een onjuiste beslissing neemt waardoor de veiligheid van persoonsgegevens in het geding is, ga ik bij mezelf te rade of ik de verantwoordelijken wel voldoende goed heb geïnformeerd en ga ik eventueel in de rebound.
Toezicht op en verantwoordelijkheid voor de veiligheid van data
Het Nederlandse Genootschap van Functionarissen voor de Gegevensbescherming (NGFG) is de beroepsvereniging die onder meer de belangen van FG’s behartigt. Als bestuurslid van het NGFG heb ik regelmatig contact met de Autoriteit Persoonsgegevens en met collega FG’s. Ik vroeg waarom de AP niet (vaker) afstemt met FG’s als er tekortkomingen bij bedrijven geconstateerd worden. Toen de AP antwoordde dat de verantwoordelijkheid voor het oplossen van tekortkomingen bij de organisatie zélf ligt, en niet bij de FG, realiseerde ik me dat dit inderdaad de situatie is en moet zijn. Een FG werkt voor een organisatie, maar geeft onafhankelijk advies en de verantwoordelijken moeten zelf bepalen hoe ze omgaan met die tekortkomingen.
De veiligheid van data is de taak van de organisatie. En daar kunnen zij iets aan doen met hulp van de FG.
Dick Barbier is DPO (Data Protection Officer) / FG (Functionaris voor Gegevensbescherming) bij The DPO Centre B.V. en tevens bestuurslid van het NGFG.