Onafhankelijkheid van de DPO
DPO onder druk
Juli 2020
De VTC vangt meer en meer signalen op van DPO’s/functionarissen die niet voldoende onafhankelijk hun functie kunnen uitoefenen.
Het is zeker geen algemeen fenomeen, maar toch opvallend. Het komt voor bij zowel de diensten van de Vlaamse Regering als bij de lokale besturen.
Dit uit zich op verschillende manieren, waaronder de volgende:
- de DPO durft of mag zich niet uiten (bijvoorbeeld op een overleg met de VTC)
- de DPO schrijft een advies of een tekst waarvan de richting gedicteerd wordt door de verantwoordelijke
- de DPO stelt (mondeling of schriftelijk) een project voor alsof hij of zij projectmedewerker is i.p.v. de nodige afstand te bewaren
- de DPO wordt (te veel) gestuurd door de organisatie die de DPO’s uitstuurt (ondersteunen is een ding, sturen een ander)
- de instantie waar de DPO zijn functie uitoefent wordt onder druk gezet om het advies van de DPO te negeren
- het advies van de DPO wordt niet gevolgd zonder motivering (tegen het besluit van de Vlaamse Regering in)
- de DPO wordt ontslagen of het contract wordt niet verlengd
De VTC benadrukt dat de DPO in volle onafhankelijkheid moet kunnen werken en dat het niet aanvaardbaar is dat hij of zij onder druk wordt gezet.
Rechtspersoon als DPO
Het is mogelijk om als externe DPO voor een organisatie een rechtspersoon aan te duiden. Het is echter wel zo dat de VTC een contactpersoon nodig heeft per organisatie, zodat intern voor de afzonderlijke besturen en voor de VTC als toezichthoudende autoriteit duidelijk is wie de eindverantwoordelijke is voor een bepaald bestuur. Deze naam hoeft niet noodzakelijk voor te komen in de publieke contactgegevens van de DPO. Hiervoor kan gewerkt worden met een algemeen mailadres van de instantie als privacy@gemeente.be. Enkel een contactadres van de rechtspersoon is niet aangewezen omdat er de nood kan zijn aan vertrouwelijke communicatie over een bepaalde instantie.
We verwijzen hiervoor naar de Richtlijnen voor de functionarissen voor gegevensbescherming, uitgebracht door de WP29, p. 14-15 en p. 28 geciteerd hieronder:
“Wanneer de functie van functionaris voor gegevensbescherming door een externe dienstverlener wordt bekleed, kan een team van personen die voor die entiteit werken feitelijk alle taken van de functionaris voor gegevensbescherming als team uitvoeren, onder de verantwoordelijkheid van een voor de klant aangestelde hoofdcontactpersoon en “verantwoordelijke”. In dit geval is het van essentieel belang dat alle leden van de externe organisatie die de taken van de functionaris voor gegevensbescherming op zich nemen, aan alle geldende eisen van de algemene verordening gegevensbescherming voldoen.
Met het oog op juridische transparantie en goede organisatie en om belangenconflicten bij de leden van het team te vermijden, wordt in de Richtlijnen aangeraden om de taken binnen het team van de externe functionaris voor gegevensbescherming duidelijk in een dienstverleningsovereenkomst vast te leggen, alsook voor de klant één enkele persoon als hoofdcontactpersoon en “verantwoordelijke” aan te stellen.”
Informatieveiligheidsconsulent als DPO
Heel wat lokale besturen en entiteiten van de Vlaamse overheid hadden al een veiligheidsconsulent aangesteld. Het is mogelijk om de bestaande veiligheidsconsulent aan te stellen als DPO.
Dit wordt ook gesteld in artikel 9 van het gewijzigde egov-decreet:
“De veiligheidsconsulenten die door de instanties werden aangewezen conform artikel 9 van het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer en het besluit van de Vlaamse Regering van 15 mei 2009 betreffende de veiligheidsconsulenten, vermeld in artikel 9 van het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer zoals dit gold ten laatste op 24 mei 2018, kunnen de functie van functionaris voor gegevensbescherming opnemen als ze voldoen aan de vereisten, vermeld in artikel 37, lid 5, van de algemene verordening gegevensbescherming.”.
CISO als DPO
Een DPO mag geen positie mag hebben die ertoe leidt dat hij het doel van en de middelen voor het verwerken van persoonsgegevens bepaalt.
Conflicterende functies kunnen directieposten omvatten, maar ook lagere functies. Een CISO geeft meestal hiërarchisch of functioneel leiding aan de informatiebeveiligingsorganisatie. Dit kan dus mogelijk leiden tot een belangenconflict. Er valt wel niet in het algemeen te verklaren dat de functies altijd onverenigbaar zouden zijn. Het hangt er van af of de CISO, vooral een adviserende (supervisie, normenkader, ...) of een operationele taak met beslissingsbevoegdheid (functionele vereisten, opzetten beveiliging, ...) heeft.