Hoewel de rol van de functionaris voor gegevensbescherming (FG) al sinds de jaren 1990 bestaat, is met de invoering van de AVG , het aanstellen van een FG wettelijk verplicht. Rapporten, die ten tijde van de invoering van de AVG werden geschreven, gaven aan dat er wereldwijd ongeveer 75.000 FG’s nodig zouden zijn, waarvan 28.000 in de VS, zodat organisaties konden voldoen aan de AVG. In 2019 werd geschat dat 500 000 organisaties in de EU een geregistreerde FG hadden, dat aantal zal sindsdien waarschijnlijk aanzienlijk zijn toegenomen naarmate meer organisaties werken aan compliance.
Op grond van artikel 37 van de AVG zijn organisaties verplicht een DPO aan te stellen als:
- een overheidsinstantie of -orgaan zijn
- Hun kernverwerkingsactiviteiten bestaan uit regelmatige en systematische monitoring van betrokkenen op grote schaal
- Zij op grote schaal bijzondere categorieën gegevens verwerken
Veel organisaties die niet wettelijk verplicht zijn om een DPO aan te stellen, doen dit echter vaak toch, om hun verplichtingen op het gebied van gegevensbescherming op te bouwen en te controleren en te helpen naleven.
Interessant is dat lid 6 van artikel 37 bepaalt dat een organisatie een personeelslid kan aanwijzen als hun aangewezen DPO, of het kan de functie uitbesteden. Dit leidt tot de vraag: Outsourcen of in-house – wat is het beste?
Ons antwoord? Outsourcen, en dit is waarom.
Pool van expertise
Hoewel er, in tegenstelling tot andere vergelijkbare beroepen, niet een formele kwalificatie is die alle FG’s moeten hebben, stelt de AVG dat de keuze van een organisatie voor benoeming in de rol gebaseerd moet zijn op “professionele kwaliteiten en, in het bijzonder, deskundige kennis van de wetgeving inzake gegevensbescherming.”
De wetgeving inzake gegevensbescherming is complex en het is bijna onmogelijk voor één persoon om deskundige kennis te hebben over alles, van de rechten van betrokkenen tot internationale gegevensoverdrachten en de toepassing van passende technische en organisatorische beveiligingsmaatregelen. Bovendien zijn er belangrijke sectornuanceringen (afgeleid van zowel de AVG zelf als het scala aan andere sectorspecifieke regels en voorschriften die er zijn), watbetekent dat een “expert op het gebied van gegevensbescherming” niet altijd een expert in uw sector zal zijn. Bovendien betekent het -vaak- wereldwijde karakter van bedrijfs- en gegevensstromen dat organisaties moeten voldoen aan Privacy-regels van meerdere rechtsgebieden, die de FG moet begrijpen.
Kortom, de kennis en technische kennis die nodig is om de gevarieerde en vaak concurrerende vereisten van de gegevensbeschermingswetten van meerdere rechtsgebieden nauwkeurig toe te passen, in combinatie met sectorspecifieke expertise, is moeilijk te vinden in één FG. Outsourcing brengt met zich mee dat u er niet op hoeft te vertrouwen dat één persoon alles weet. Door uit te besteden aan een dienstverlener waarvoor gegevensbescherming hun “ding” is, profiteert u niet alleen van uw aangewezen FG en hun expertise, maar ook van een pool van kennis en ervaring van andere FG’s. Dit betekent dat met welk dilemma met betrekking tot gegevensbescherming u ook wordt geconfronteerd, u waarschijnlijk een antwoord kunt vinden, ongeacht de sector of jurisdictie, door gebruik te kunnen maken van de kennis van een heel team van DPO’s. Hoe groter het team, hoe groter de kans om over de vereiste kennis te beschikken.
Belangenconflicten
Een belangrijke vereiste van de AVG, uiteengezet in artikel 38, is dat FG’s op een onafhankelijke manier moeten handelen. Organisaties kunnen en mogen hen niet vertellen hoe ze hun werk moeten doen, of hen straffen voor het uitvoeren van hun taken, zelfs als dit ten nadele van de organisatie kan zijn.
De onafhankelijkheid van de FG is uiterst belangrijk omdat het voldoen aan verplichtingen inzake gegevensbescherming vaak in strijd is met andere commerciële doelstellingen, waarbij het verkrijgen van toestemming voor B2C-marketing een goed voorbeeld is. Daarom is een onafhankelijke stem essentieel om ervoor te zorgen dat de juiste checks and balances aanwezig zijn.
De Artikel 29-groep van de EU (nu EDPB genoemd) heeft bepaald dat “FG’s geen positie binnen de organisatie kunnen bekleden met verantwoordelijkheid voor het bepalen van het doel en de middelen voor de verwerking van persoonsgegevens.” Denk hierbij aan functies waain belangrijke beslissingen worden genomen binnen een bedrijf, zoals senior management (bijvoorbeeld de CEO, COO, Hoofd Marketing, Hoofd IT, enz.), Ook andere personen die belangrijke verwerkingsactiviteiten bepalen, kunnen niet worden aangesteld als interne FG.
Een ander belangrijk punt om te overwegen is dat de juridisch adviseur van een organisatie in veel gevallen wordt geacht een belangenconflict te hebben en daarom ook niet als FG moet worden aangesteld. Hoewel een persoon met juridische ervaring de ideale DPO-kandidaat is, vertegenwoordigen ze uw belangen als uw juridisch adviseur, waardoor ze niet als onafhankelijk worden beschouwd.
Het uitbesteden van uw FG neemt dit probleem weg en maakt het uiterst eenvoudig om zowel aan autoriteiten, het publiek en andere organisaties aan te tonen dat u aan uw artikel 38-verplichtingen voldoet.
Kosteneffectiviteit
Een laatste punt om op te merken is dat het uitbesteden van uw FG uiterst kosteneffectief is. Door de rol uit te besteden, vermijdt u alle extra kosten en gedoe die gepaard gaan met het werven en vervolgens in dienst nemen van een werknemer, zoday u nooit de kosten van voortdurende training, afwezigheid, vakantie of ziekte hoeft te betalen.
Daarnaast betaalt u alleen voor de tijd die nodig is. Voor veel MKB-bedrijven is de rol van de FG vaak geen fulltime functie, misschien slechts een paar dagen per maand, werk dat bijna onmogelijk is om in te huren. Bij outsourcing kunt u investeren in het exacte niveau van middelen dat u nodig hebt en, cruciaal, als u meer nodig hebt (bijvoorbeeld omdat u een inbreuk ervaart die aanzienlijke mitigatie vereist of u complexe toegangsverzoeken voor betrokkenen ontvangt) betaalt u gewoon voor dat stukje extra, waardoor probleem is opgelost.
Conclusie
Kortom, er zijn verschillende voordelen aan het uitbesteden van uw FG in vergelijking met het inhuren van in-house. Door uw FG uit te besteden, profiteert u van de kennis en gedeelde best practices van een heel team van professionals op het gebied van gegevensbescherming, terwijl u ook de tijd en het geld bespaart die gepaard gaan met het aantstellen van een interne FG.
Waarom zou je uitbesteden aan The DPO Centre?
Onze uitbestede service biedt u een zeer ervaren functionaris voor gegevensbescherming (FG) van ons grote team die op locatie of op afstand werkt als een integraal lid van uw team.
U profiteert van deskundige, praktische professionals op het gebied van gegevensbescherming die de verantwoordelijkheden van de FG op een uiterst kosteneffectieve manier op zich nemen, en ondersteund door worden door andere FG’s, gedeelde best practices en modeldocumentatie die zijn ontwikkeld op basis van de ervaring van The DPO Centre met meer dan 500 organisaties.
Voor meer informatie over onze uitbestede DPO-service, klik hier.