26 juli 2017

AVG: Is een Data Protection Officer verplicht voor jouw organisatie?

Beveiligingscamera

Een belangrijk onderdeel van de Algemene verordening gegevensbescherming (AVG) is de verplichting voor bepaalde organisaties om een Data Protection Officer (DPO), ofwel functionaris gegevensbescherming (FG), aan te stellen. Een DPO is een onafhankelijk persoon binnen een organisatie die adviseert, informeert en rapporteert over de bescherming van persoonsgegevens. Hij of zij biedt organisaties ondersteuning bij belangrijke verplichtingen uit de AVG en zorgt ervoor dat de bepalingen uit deze verordening worden nageleefd. Of een DPO ook voor jouw webshop verplicht is, is van veel factoren afhankelijk. We leggen ze hier voor je uit.

Wanneer is een DPO verplicht?

De AVG stelt een DPO verplicht voor overheden en organisaties die grote hoeveelheden persoonsgegevens verwerken, beheren of opslaan, zeker als hierbij ook bijzondere persoonsgegevens in het spel zijn. Het instellen van een DPO is verplicht wanneer een organisatie:

  • een overheidsorgaan of -instantie is;
  • hoofdzakelijk is belast met gegevensverwerkingen waarvoor op grote schaal regelmatige en stelselmatige observatie van betrokkenen nodig is;
  • hoofdzakelijk is belast met de verwerking van bijzondere persoonsgegevens op grote schaal.

Voor webshops zijn met name de laatste twee criteria van belang. Maar wanneer je hier onder valt, is in verband met de brede duiding/interpretatieruimte van sommige begrippen nog niet geheel duidelijk. Daarom gaan we hier nog wat dieper in op deze begrippen.

‘Hoofdzakelijk’

De term ‘hoofdzakelijk’ slaat op het feit of de verwerking van persoonsgegevens is aan te merken als een kerntaak, noodzakelijk voor het uitoefenen van de hoofdactiviteit van een organisatie. Volgens de Autoriteit Persoonsgegevens (AP) zijn kerntaken de belangrijkste handelingen die nodig zijn om het doel van de verwerker van de gegevens (van de organisatie) te bereiken. Ondersteunende activiteiten, zoals ict-ondersteuning of loonadministratie, zijn wel belangrijk, maar geen hoofdactiviteit omdat ze niet noodzakelijk zijn voor het doel. Een voorbeeld: het bieden van medische zorg aan patiënten is de hoofdtaak van een ziekenhuis. Het aanbieden van medische zorg gaat echter niet zonder het verwerken van medische gegevens. In dit geval is de verwerking dus ook een hoofdactiviteit.

‘Op grote schaal’

Het is nog niet geheel duidelijk wanneer organisaties ‘op grote schaal’ gegevens verwerken. Dit maakt het moeilijk in te schatten of een organisatie binnen deze categorie valt. In de AVG wordt ‘op grote schaal’ namelijk niet in cijfers uitgedrukt. De Artikel 29-werkgroep (WG29), een onafhankelijk advies- en overlegorgaan van Europese privacytoezichthouders, heeft geprobeerd het begrip wat te verduidelijken door criteria bij en voorbeelden uit de verordening te geven. Deze voorbeelden geven echter alleen de uitersten van het spectrum weer, van de kleine verwerking van medische gegevens door een arts tot een ziekenhuis dat voor een regio de patiëntgegevens verwerkt. Het blijft een grijs gebied, waarbij de WG29 heeft aangegeven dat het op den duur zelf wil bijdragen aan de ontwikkeling van duidelijke maatstaven. Of er sprake is van verwerking ‘op grote schaal’ is volgens de WG29 nu afhankelijk van het aantal, het volume, de duur en de geografische omvang van de verwerking.

‘Regelmatige en stelselmatige observatie’

Het begrip ‘regelmatige en stelselmatige observatie’ wordt niet uitgelegd in de AVG, maar besproken in een van de overwegingen bij de verordening. Hierin staat dat het in ieder geval alle vormen van gegevensverwerking zijn waarin een consument online wordt gevolgd en/of waarbij er een profiel van het online gedrag wordt gemaakt. Alle vormen van gedragsreclame door webshops komen hier dus onder te vallen. De WG29 geeft aan dat er sprake is van regelmatige observatie wanneer er voortdurend of periodiek, op gezette tijden, herhaaldelijk persoonsgegevens worden verwerkt. Stelselmatige observatie wordt uitgelegd als het volgens een systeem, georganiseerd, in het kader van een plan, of uitgevoerd als onderdeel van een strategie volgen van consumenten. Voorbeelden hiervan zijn het verstrekken van telecommunicatiediensten, e-mailretargeting, kredietbeoordelingen, loyaliteitsprogramma’s, het bijhouden van locaties via mobiele applicaties, slimme meters en andere vormen van thuismonitoring.

Bijzondere persoonsgegevens

De derde categorie waarbij een DPO verplicht is, ziet toe op de bescherming van bijzondere persoonsgegevens. Dit zijn gevoelige gegevens zoals biometrische gegevens, genetische gegevens, gezondheid, godsdienst, lidmaatschap van een vakvereniging, politieke opvatting, ras, seksuele voorkeur en/of strafrechtelijk gedrag. Het verwerken van deze gegevens is, in de meeste gevallen verboden. Webshops die, gezien hun aard of met toestemming van consumenten, op grote schaal hoofzakelijk bijzondere persoonsgegevens verwerken, zijn in ieder geval verplicht een DPO aan te stellen.

Wanneer moet ik een DPO aanstellen?

Kortom, het aanstellen van een DPO is niet verplicht voor iedere organisatie. In veel gevallen is dit echter toch verstandig. Een DPO geeft de ondernemer de zekerheid dat zijn of haar organisatie aan de regels voldoet en dit in de toekomst ook blijft doen. Daarnaast worden op deze manier controles en maatregelen door de toezichthouder voorkomen. Zeker nu toezichthouders onder de AVG meer bevoegdheden krijgen, zoals het uitdelen van hogere boetes, kan het wenselijk zijn om een DPO aan te stellen. Dit mag zowel binnen als buiten de organisatie (hij of zij kan bijvoorbeeld onderdeel zijn van een onderneming die toeziet op meerdere organisaties). Zelfs voor kleinere webshops kan zo, bijvoorbeeld op basis van een servicecontract, een DPO een haalbare en waardevolle aanvulling zijn op de bedrijfsvoering.

Nieuwe privacytool biedt uitkomst

De nieuwe privacytool van Thuiswinkel.org, PrivacyBlox en ICTRecht biedt leden straks alvast gratis DPO-ondersteuning in de vorm van een chatfunctie. Voor extra hulp kan een externe DPO eventueel tegen een vergoeding ook bijspringen in je organisatie. Lees voor meer informatie over de Thuiswinkel Privacytool het gerelateerde artikel op onze site en houd onze nieuwsbrief in de gaten!