Ja, wij hebben een webshop 😉.

Ben je op zoek naar juridisch advies of het betere maatwerk voor je contracten of policies? Check ons aanbod!

12/05/2020

DPO met belangenconflict? Dat is dan € 50.000 …

Leesduur: 8 minuten

De GDPR is intussen bijna twee jaar in werking.  Een jammere vaststelling blijft dat héél wat bedrijven nog niet of niet voldoende compliant zijn.
Bij bedrijven die wél al het nodige gedaan hebben, is één van de maatregelen vaak geweest het aanstellen van een DPO, of Data Protection Officer of ook nog in mooi Nederlands de Functionaris voor Gegevensbescherming. Het is precies rond die rol van DPO dat er nog heel wat onduidelijkheid bestaat bij bedrijven.  Een nog zeer recente beslissing van de Gegevensbeschermingsautoriteit brengt alvast wat verduidelijking nu. Let vooral op dat je interne DPO geen belangenconflict heeft! 

 

Interne of externe DPO?

De GDPR voorziet de mogelijkheid om een DPO zowel intern binnen je bedrijf als via een externe consultant aan te stellen. Vele ondernemingen kiezen voor de interne versie en duiden een van hun personeelsleden aan om een DPO-opleiding te gaan volgen, bijvoorbeeld bij Data Protection Institute, waar de advocaten van Sirius Legal geregeld ook als lesgever fungeren. Die DPO-klassen zijn vaak een kleurrijk allegaartje van personen uit verschillende sectoren met verschillende professionele achtergronden en iedereen heeft zijn reden om zo’n opleiding te volgen: instructies van de werkgever, bijkomende verantwoordelijkheid als security en/of risk manager, gezonde nieuwsgierigheid of als zelfstandige nakijken wat je zelf in orde moet brengen, dan wel welke nieuwe opportuniteiten in het verschiet liggen.

 

Het voordeel van een eigen DPO binnen je bedrijf, is natuurlijk in de eerste plaats de doorgedreven kennis van de organisatie zelf.   De keuze om iemand intern aan te duiden is dan ook vaak snel gemaakt.  Er lijken op het eerste zicht immers niet veel bijkomende vereisten te zijn. Er bestaan -voorlopig althans- geen officiële diploma’s en de facto kan iedereen deze functie op zich nemen zolang deze persoon aan een aantal minimale vereisten voldoet (kennis van nationale en Europese wetten en praktijken op het gebied van gegevensbescherming, kennis van het bedrijf of van bedrijfsprocessen en voldoende onafhankelijkheid ten aanzien van het bedrijf en ten aanzien van de gegevensverwerking binnen het bedrijf zijn de belangrijkste).

Maar is het altijd een goede beslissing om een van je personeelsleden aan te duiden als DPO of zijn er toch redenen om een externe professional in te huren?   

 

Iedereen DPO…?

In een beslissing van 28 april 2020 heeft de Geschillenkamer van de Gegevensbeschermingsautoriteit de onafhankelijkheid en de essentiële rol van de DPO nog eens op scherp gesteld. De beslissing helpt ons om beter in te schatten wat de rol, de taken en de verantwoordelijkheden van een DPO precies zijn.

In de betrokken organisatie bekleedt de aangestelde interne DPO ook een verantwoordelijke positie in het Compliance departement, het Risk departement en het Interne Audit departement. Aangezien hij hoofd was van Interne Audit had hij in die hoedanigheid ook beslissingsrecht. Volgens de Geschillenkamer was hier sprake van een belangenconflict, waarbij zij benadrukt dat er een verschil is tussen louter processen analyseren en via interne audit het functioneren van werknemers beoordelen,  hetwelk op gespannen voet staat met de vertrouwensfunctie die de functionaris voor gegevensbescherming heeft binnen de onderneming

De DPO bepaalt met andere woorden vanuit zijn andere functies (mee) “de doelstellingen van en de middelen voor de verwerking van persoonsgegevens”. Op die manier kan hij als DPO onmogelijk onafhankelijk toezicht uitoefenen op de omgang met persoonsgegevens en zijn bovendien de geheimhouding en de vertrouwelijkheid ten aanzien van de personeelsleden onvoldoende gegarandeerd.

De onafhankelijkheid van de DPO en het absoluut vermijden van belangenconflicten wordt met deze beslissing nog eens herhaald met de verwijzing naar de richtsnoeren van de WP29  (het vroegere Europese adviesorgaan rond gegevensbescherming) waar letterlijk staat dat de DPO geen functie mag bekleden die de doelstellingen van en de middelen voor de verwerking van persoonsgegevens kan bepalen. Als  vuistregel  worden  binnen  de  organisatie  als  functies  met  een  belangenconflict  beschouwd: functies  in  het  hogere  management  (bv.  Chief  Executive,  Chief  Operating,  Chief  Financial,  Chief  Medical  Officer,  hoofd  van  de  marketingafdeling,  hoofd van Human Resources of hoofd van de IT-afdeling), maar ook lagere functies binnen de organisatiestructuur als deze personen  de  doelstellingen  van  en  middelen  voor  de  verwerking  van  gegevens  moeten  bepalen.  

De WP29 stelt als goede praktijk dat elke organisatie afhankelijk van haar activiteiten, haar grootte en haar structuur om:

  • de functies die een belangenconflict opleveren, te identificeren;
  • daartoe interne regels op te stellen;
  • een meer algemene uitleg over belangenconflicten op te nemen;
  • te verklaren dat hun DPO geen belangenconflict heeft, als een manier om anderen voor deze vereiste van onafhankelijkheid te sensibiliseren;
  • in het intern reglement waarborgen op te nemen en ervoor te zorgen dat de vacature voor de positie van functionaris voor gegevensbescherming of de dienstverleningsovereenkomst voldoende gepreciseerd en gedetailleerd is om belangenconflicten te vermijden.

 

De prijs van een DPO belangenconflict: sanctie door de GBA

Aangezien de betrokken DPO wel degelijk een belangenconflict had, werd de organisatie naast de corrigerende maatregel om zich terug in regel te stellen met de GDPR, ook een administratieve geldboete opgelegd van 50.000 Euro

De Geschillenkamer hield bij de begroting van de geldboete rekening met de verwerking van persoonsgegevens als kernactiviteit op zeer grote schaal, waaronder persoonsgegevens die een grote mate van gevoeligheid kunnen hebben voor betrokkenen, onder meer omdat ze een regelmatige en stelselmatige observatie mogelijk maken. Ook werd rekening gehouden met de duur van de inbreuk die minstens liep sedert de inwerkingtreding tot 14 februari 2020 (datum hoorzitting).

 

Dan maar een externe DPO aanstelling?

De aanstelling van een interne DPO kan zeer nuttig zijn vanuit organisatorisch en financieel vlak, maar is niet zonder risico. In een interne verhouding is het niet eenvoudig om te kunnen spreken van voldoende onafhankelijkheid, zij het de uitsluiting van een belangenconflict. Stel je een werknemer in dienstverband aan, dan blijft hoe dan ook de gezagsverhouding werkgever-werknemer spelen. Een loutere ‘papieren’ DPO is strijdig met de GDPR, gelet op de essentiële taken die de DPO moet kunnen uitoefenen. Een onafhankelijke DPO daarentegen die radicaal tegen de beleidslijnen van de werkgever durft ingaan, riskeert op termijn sancties zoals het mislopen van promoties of zelfs ontslag. Er geldt weliswaar een sociale bescherming voor dit ontslag, maar het is nooit uitgesloten dat daar in realiteit op creatieve wijze rondgefietst wordt. Gaat het anderzijds om de aanstelling van een interne DPO die niet meer onder de gezagsrelatie valt, dan komt men bij de gebruikelijke functies al snel in het vaarwater van het kunnen bepalen van de doelstellingen van en middelen voor de persoonsgegevens.

Om die reden is het een goede overweging om een externe DPO of op zijn minst een externe ondersteunende DPO-dienst aan te stellen. De onafhankelijkheid wordt beter gewaarborgd en het risico op belangenconflicten kan tot een minimum worden herleid. Bovendien heb je de mogelijkheid om profielen aan te spreken die aan alle criteria voor een DPO voldoen, namelijk:

  • Niveau van deskundigheid afhankelijk van de gevoeligheid en complexiteit van de gegevens 
  • Professionele kwaliteiten: grondige kennis van de wetgeving en praktijken met betrekking tot databescherming. Dit vraagt om een sterk juridisch profiel voor een correcte analyse
  • Vermogen om zijn taken te vervullen: tonen van integriteit en professionele ethiek

 

De DPO-advocaat als absolute garantie

Niet ontoevallig hebben ook advocaten de mogelijkheid om (enkel) op te treden als externe DPO. De beroepsvereisten van een DPO liggen volledig in lijn met de deontologische verplichtingen die een advocaat moet volgen. Art. 1 van de Codex deontologie zegt letterlijk: ‘De advocaat oefent zijn beroep op deskundige wijze uit met eerbiediging van het beroepsgeheim, van de essentiële plichten van onafhankelijkheid en partijdigheid, en met het vermijden van belangenconflicten. Hij eerbiedigt de beginselen van waardigheid, rechtschapenheid en kiesheid, die aan het beroep ten grondslag liggen.’

Laat dat nu net de DPO-beginselen van deskundigheid, integriteit, vertrouwelijkheid, onafhankelijkheid en het vermijden van belangenconflicten zijn die bovendien tuchtrechtelijk gegarandeerd worden. De Codex voorziet expliciet dat de tuchtregels van toepassing blijven wanneer de advocaat als DPO optreedt. De DPO-advocaat is dus onderworpen aan een eigen toezichtsorgaan.

Bovendien zijn advocaten verplicht verzekerd voor hun aansprakelijkheid, ook wanneer zij als DPO optreden. 

 

Sirius Legal als DPO?

Ook bij Sirius Legal treden we al sinds de inwerkingtreding van de AVG op als extern DPO voor onze cliënten via onze DPO as a service dienst die je eenvoudig kan bestellen via onze webshop. 

De advocaten van Sirius Legal gaan reeds jarenlang op deskundige wijze om met databescherming, waarbij zij zowel optreden als externe DPO als ondersteuning bieden aan interne DPO’s bij het uitschrijven van onafhankelijke en onderbouwde adviezen. 

Ons team bestaat uit verschillende opgeleide DPO’s en wij geven zélf les aan toekomstige DPO’s via Data Protection Institute.

Naast DPO-opdrachten en ad hoc bijstand aan interne DPO’s kan je bij Sirius Legal overigens terecht voor allerlei specifieke diensten inzake databescherming:

Wil je meer weten over de mogelijkheden, neem dan gerust even vrijblijvend contact op met roeland@siriuslegal.be 

Sirius Shop

Interessant voor jou in onze webshop

DPO As A Service

1950 excl. btw
  • Intake gesprek en analyse AS IS situatie
  • Scoping en voorstel jaarplan
  • DPO as a service

Haal een échte, ervaren DPO in huis “as a service” en betaal daarbij alleen voor de tijd en beschikbaarheid die je écht nodig hebt.

meer

GDPR audit

3000 excl. btw
  • GDPR audit
  • 1 dag ter plaatse
  • Onderbouwd auditverslag

Een pragmatische audit die aangeeft waar je staat op vlak van GDPR compliance, en welke jouw prioritaire to do’s zijn. 

meer

GDPR Helpdesk

3000 excl. btw
  • GDPR Helpdesk
  • Kickoff meeting of videocall
  • Razendsnel advies binnen de 2 werkdagen

Een permanente hulplijn voor ál je vragen over gegevensbescherming en GDPR door échte specialisten met jarenlange ervaring.

meer
Sirius Blogt

Interessant voor jou op onze blog

13.12.2022 Bart Van den Brande

GDPR in cijfers: de jaarverslagen en prioriteiten van de GBA en de AP

Het einde van het jaar is altijd hét moment om even achterom te kijken én om plannen te maken voor de toekomst.  Dat is niet ...

24.01.2019 Bart Van den Brande

DPO of privacy verantwoordelijke: what’s in a name?

De nieuwe GDPR-regels vereisen in bepaalde gevallen de aanstelling van een functionaris voor de gegevensbescherming. Bedrijven ...