Wat doen we met de functionaris voor de gegevensbescherming (m/v)?
prof. mr. G.J. Zwenne1 Het artikel is in de opmaak van het tijdschrift rechts als pdf beschikbaar.Over iets minder dan twee jaar treedt de Algemene Verordening Gegevensbescherming in werking. Een van gevolgen daarvan zal zijn dat veel internetondernemingen een zogeheten ‘functionaris voor de gegevensbescherming’ of ‘data protection officer’ (m/v) moeten benoemen. Dat is iemand die binnen de organisatie waarvoor hij is benoemd optreedt als onafhankelijk toezichthouder op toepassing van privacy- en gegevensbeschermingsregels. Een functionaris wordt onder andere verplicht als er sprake is van het stelselmatig observeren van internetgebruikers op grote schaal,2 wat bijvoorbeeld gebeurt als gedragingen van internetgebruikers op een website of app worden gevolgd en bijgehouden. Er kan daarom wel vanuit worden gegaan dat er een grote vraag zal zijn naar dergelijke functionarissen.3
Wie komen er in aanmerking om te worden benoemd als functionaris? In de verordening staat dat een functionaris wordt aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen om de hem of haar opgedragen taken te vervullen. Een en ander laat nogal wat interpretatieruimte. En dat vergroot het risico dat er functionarissen worden benoemd die daarvoor niet zonder meer geschikt zijn.
Wat daarom nuttig lijkt is een systematiek waarbij de benoeming van een functionaris kan worden getoetst. Wie zou dat moeten doen? Voor de hand ligt wellicht dat een beroepsorganisatie van functionarissen dat gaat doen. De organisatie die in Nederland het dichtst daarbij in de buurt komt is het Nederlands Genootschap van Functionarissen voor de Gegevensbescherming of NGFG.4 Het genootschap kan bijvoorbeeld de wettelijke vereisten uitwerken in een toetsingskader, dat kan worden gebruikt om te toetsen of iemand over de kwaliteiten beschikt om te worden aangemerkt als functionaris.
Ook de toezichthouder, de Autoriteit Persoonsgegevens, kan daarbij een rol spelen. In het kader van het toezicht op de naleving van de functionarisverplichting kan de toezichthouder verlangen dat wordt aangetoond dat een functionaris beschikt over de vereiste deskundigheid en professionele kwaliteiten. Voorstelbaar is dat de toezichthouder dan ook betekenis toekent aan de toetsing door een beroepsvereniging, als NGFG, als die inderdaad erin slaagt een werkend toetsingskader op te tuigen.
Van alle nieuwe dingen die de verordening gaat brengen wordt de verplichte functionaris voor internetondernemingen misschien wel een van de minst vrijblijvende. Daarom is er ook veel voor te zeggen nu al na te denken over de wijze waarop straks aan deze verplichting kan worden voldaan.5