www.iir.nl

Whitepaper

Is de privacy officer een compliance officer of toch niet?

www.iir.nl

Bovenstaande vraag wordt regelmatig gesteld tijdens trainin-gen. Het daaropvolgende gesprek gaat dan steevast over de vraag of een privacy officer eigenlijk ´gewoon´ een compli-ance officer is. Of dat de compliance officer eigenlijk wat ´meer´ privacy officer zou moeten zijn. En ook over hoe de functionaris voor gegevensbescherming zich tot deze twee figuren verhoudt. Dè wat? Ja, u leest het goed: de ‘functionar-is voor gegevensbescherming’.

Laten we beide hoofdrolspelers eens tegenover elkaar zetten aan de hand van de wettelijke kaders en aanstaande ontwik-kelingen. In het privacylandschap bestaan twee typen priva-cyfunctionarissen:• de functionaris voor gegevensbescherming (FG) op

grond van artikel 62-64 Wet bescherming persoons-gegevens (Wbp);

• de privacyfunctionaris die geen FG is.

Wat is een Functionaris voor de Gegevensbescherming?De Wbp geeft in hoofdstuk 9 Toezicht, paragraaf 2, artikel 62-64, een beschrijving van een functionaris voor de gegevens-bescherming:

Artikel 62 WbpEen verantwoordelijke of een organisatie waarbij verant-woordelijken zijn aangesloten kan een eigen functionaris voor de gegevensbescherming benoemen, onverminderd de bevoegdheden van het College ingevolge hoofdstuk 9 en 10 van deze wet.

Artikel 63 Wbp1. Als functionaris kan slechts worden benoemd een natu-

urlijke persoon die voor de vervulling van zijn taak over toereikende kennis beschikt en voldoende betrouwbaar kan worden geacht.

2. De functionaris kan wat betreft de uitoefening van zijn functie geen aanwijzingen ontvangen van de verant-woordelijke of van de organisatie die hem heeft beno-emd. Hij ondervindt geen nadeel van de uitoefening van zijn taak. De verantwoordelijke stelt de functionaris in de gelegenheid zijn taak naar behoren te vervullen. De functionaris kan de kantonrechter verzoeken te bepalen dat de verantwoordelijke gevolg dient te geven aan het-geen in de tweede volzin is bepaald.

3. De functionaris oefent zijn taken eerst uit nadat de ve-rantwoordelijke of de organisatie die hem heeft beno-emd, hem heeft aangemeld bij het College. Het College houdt een lijst bij van aangemelde functionarissen.

4. De functionaris is verplicht tot geheimhouding van het-geen hem op grond van een klacht of een verzoek van betrokkene is bekend geworden, tenzij de betrokkene in bekendmaking toestemt.

Artikel 64 Wbp1. De functionaris ziet toe op de verwerking van persoons-

gegevens overeenkomstig het bij en krachtens de wet bepaalde. Het toezicht strekt zich uit tot de verwerking van persoonsgegevens door de verantwoordelijke die hem heeft benoemd of door de verantwoordelijken die zijn aangesloten bij de organisatie die hem heeft beno-emd.

2. Indien op de verwerking een krachtens artikel 25 vast-gestelde gedragscode van toepassing is, strekt het toezicht mede uit tot de naleving van deze code.

3. De verantwoordelijke of de organisatie als bedoeld in het eerste lid draagt zorg dat de functionaris ter vervulling van zijn taak over bevoegdheden beschikt die gelijk-waardig zijn aan de bevoegdheden zoals geregeld in Ti-tel 5.2 van de Algemene wet bestuursrecht.

4. De functionaris kan aanbevelingen doen aan de verant-woordelijke die strekken tot een betere bescherming van de gegevens die worden verwerkt. In gevallen van twijfel overlegt hij met het College.

Het College bescherming persoonsgegevens (Cbp) heeft een handreiking gepubliceerd waarin het ingaat op de beschrijv-ing van de taken, bevoegdheden en verantwoordelijkheden van een FG. Ook geeft het Cbp in de handreiking aan, waar een FG voor dient. Uit de wettekst en de handreiking wordt duidelijk dat de FG:• onafhankelijk toezicht houdt op de toepassing en nalev-

ing van de Wbp;

• meldingen van verwerkingen van persoonsgegevens in ontvangst neemt;

• een deskundig aanspreekpunt is voor de verantwoor-delijke;

• contactpersoon is voor betrokkenen van wie persoons-gegevens worden verwerkt.

Ook wordt uit de handreiking duidelijk dat het Cbp de be-leidsvisie hanteert dat het zich terughoudend zal opstellen ten aanzien van organisaties waarin een FG naar behoren, als ´ambassadeur van de Wbp´, werkzaam is. Op grond van artikel 63 lid 3 Wbp beheert het Cbp een openbaar register waarin alle FG´s in Nederland, zijn vermeld. Er zijn momen-teel ruim 200 FG´s als zodanig opgenomen in het openbaar

Is de privacy officer een compliance officer of toch niet?

www.iir.nl

register.

Wat is een privacy officer?Ter onderscheiding van een privacyfunctionaris die een FG is, zijn er ook privacyfunctionarissen die op gelijke wijze als een FG (kunnen) functioneren, maar dat formeel niet zijn. Ik benoem deze functionarissen gemakshalve als privacy officers. Er zijn op grond van de Wbp een aantal verschillen te benoemen tussen een FG en een privacy officer. Het ver-meld staan in het openbaar register is een eerste wezenlijk (formeel) onderscheid. Een ander wezenlijk onderscheid is dat de FG wettelijke ontslagbescherming geniet. Op grond van artikel 7:670a lid 1 sub d BW, geniet een FG wettelijke ontslagbescherming op gelijke wijze als leden van een on-dernemingsraad. Verder valt op te merken dat een FG een wettelijke geheimhoudingsplicht heeft ten aanzien van een klacht of verzoek van een betrokkene (art. 63 lid 4 Wbp); dat de FG een melding in ontvangst neemt als bedoeld in artikel 27 lid 1 jo lid 3 Wbp en dat de FG beschikt over toezichthou-dende controlebevoegdheden die gelijk zijn als opgenomen in Titel 5.2 van de Algemene wet bestuursrecht.

Wat de FG en een privacy officer ondanks de wettelijke ver-schillen verbindt, is dat beide functionarissen dus intern toezien op de toepassing en naleving van de Wbp. De privacy officer functioneert in de praktijk echter dus zonder wetteli-jke bevoegdheden en de taken, bevoegdheden en verant-woordelijkheden zullen dus nog veel meer dan bij een FG, onderhevig zijn aan de keuzes die een organisatie hierom-trent maakt en zonodig heeft vastgelegd in een governance document.

Ondanks de wettelijke verschillen en ondanks de vele stim-ulansen vanuit het Cbp om organisaties te bewegen om te komen tot de benoeming van een FG, functioneren de FG en de privacy officer veelal op identieke wijze. De meeste FG’s combineren het FG-schap met een andere (hoofd)functie en zijn veelal als enige persoon benoemd om toe te zien op de toepassing en de naleving van de Wbp. De dagelijkse werk-druk veroorzaakt daarbij bij veel FG’s dat zij bijna volledig bezig zijn met het geven van voorlichting aan hun organisa-tie of met het adviseren over of het uitwerken van vraagstuk-ken. Er is dan niet vaak gelegenheid om de beoogde wetteli-jke rol van interne toezichthouder afdoende op te pakken en controles uit te voeren. Ook is het vaak lastig om nog intern toezicht te kunnen uitoefenen op toepassingen waar in een eerder stadium de uitwerking van vraagstukken door de FG zelf ter hand is genomen of heeft moeten nemen. En dat is vaak precies de wijze waarop een privacy officer functioneert binnen een organisatie: dicht op de business praktisch advis-erend en vraagstukken zonodig uitwerkend.

Een belangrijke ontwikkeling die ik hier niet onvermeld wil laten is die rondom de Europese Privacy Verordening (EPV). De EPV introduceert in artikel 35-37 opnieuw de functie van FG. Maar ditmaal als verplichting. De exacte tekst van de ver-ordening is nog onderhevig aan wijzigingen maar duidelijk is al wel dat de figuur van de ‘nieuwe’ FG een verplichting zal gaan vormen voor een zeer groot deel van de organisaties in Nederland. Het takenpakket van de ‘nieuwe’ FG wordt in de EPV uitgebreid beschreven en lijkt ruimer van reikwijdte dan de taken zoals de FG die nu heeft op grond van artikel 62-64 Wbp. Wel is het zo dat de wettelijke geheimhouding momen-teel niet uitdrukkelijk geregeld wordt in de tekst van de EPV. Ontslagbescherming voor de ´nieuwe´ FG lijkt wel aanwezig, maar is nu eveneens niet uitdrukkelijk geregeld in de EPV. Hiervoor zal waarschijnlijk in een later stadium een wijziging van artikel 7:670a BW nodig zijn.

Bij mij komt als eerste indruk de gedachte op dat de ‘nieuwe’ FG dan ook een hybride vorm lijkt te zijn van de huidige FG zoals we die in Nederland kennen en de in dit artikel aange-haalde privacy officer. Geen uitdrukkelijke wettelijke geheim-houding of toezichtsbevoegheden, maar wel toezichthouder en adviseur van de organisatie.

Wat is een Compliance Officer?Net zomin als er een definitie is van een privacy officer is er een algemeen geldende eenduidige definitie van een com-pliance officer. Gemakshalve ontleen ik mijn beschrijving aan wikipedia:

‘Een compliance officer is een functionaris die bij veelal een financiële instelling is aangesteld om toe te zien op de na-leving van wet- en regelgeving binnen de organisatie. Het woord compliance komt van het Engelse werkwoord to comply with, overeenstemmen met. Een compliance offi-cer zorgt er voor dat de handelwijze van bedrijven inclusief haar personeel overeenkomt met de door de wetgever gesteld vereisten. Een compliance officer kan verschillende gedaantes aannemen. Hij kan optreden als adviseur van de onder toezicht staande instelling echter hij kan ook een meer controlerende rol hebben en optreden als een soort interne accountant.’

Wel is het zo dat een tweetal specifieke financiële toezicht-wetten voor een aantal organisaties de wettelijke norm bevat om te komen tot een adequaat functionerende compliance-functie. Dat is artikel 21 Besluit Prudentiële Regels (Bpr) en artikel 31c van het Besluit Gedragstoezicht Financiële Onder-nemingen (Bgfo).

www.iir.nl

‘Een […] beschikt over een organisatieonderdeel dat op on-afhankelijke en effectieve wijze een compliancefunctie uitoe-fent. Het organisatieonderdeel heeft als taak het controleren van de naleving van wettelijke regels en van interne regels die de financiële onderneming of bijkantoor zelf heeft op-gesteld.

Het organisatieonderdeel, bedoeld in het eerste lid, van een […], heeft voorts als taak: a. het adviseren van de personen die verantwoordelijk zijn voor het verlenen van […] bij de naleving van wettelijke re-gels en interne regels; b. het toezien op de deugdelijkheid en effectiviteit van de in-terne regels en procedures; c. het beoordelen van de effectiviteit van de procedures die zijn opgesteld en maatregelen die zijn genomen om gesig-naleerde onvolkomenheden bij de naleving van wettelijke regels en interne regels op te heffen; en d. het ten minste jaarlijks rapporteren aan de personen die het dagelijks beleid van de […] bepalen en aan het orgaan, indien aanwezig, dat is belast met toezicht op het beleid en de algemene gang van zaken van de bank inzake aangele-genheden met betrekking tot de naleving van wettelijke re-gels en interne regels. In de jaarlijkse rapportage wordt met name vermeld of maatregelen zijn genomen in het geval van gesignaleerde tekortkomingen.

Het organisatieonderdeel […] beschikt over de nodige autoriteit, middelen, deskundigheid en toegang tot alle noodzakelijke informatie om haar taken onafhankelijk en ef-fectief te kunnen uitoefenen.’

De overeenkomsten en de verschillenHet nut van het opnemen van definities en wetcitaten komt in deze paragraaf naar voren. Het zal u als lezer vrij snel opval-len dat er tekstueel niet een grote overlap of synchronie te ontdekken is tussen de aanduiding van een compliance of-ficer en de aanduiding van een privacy officer. Bij nadere beschouwing zijn er echter wel een aantal overeenkomsten en verschillen op te ontdekken. Ik noem hier de belangrijkste overeenkomsten en verschillen op hoofdlijnen.

Een overeenkomst die mij voor ogen komt is dat een (nieu-we) FG een wettelijke grondslag kent die te vergelijken valt met de wettelijke grondslag voor een compliance functie op grond van artikel 21 Bpr en artikel 31c Bbgfo. In beide geval-len dient er een onafhankelijke functie te zijn die onder meer toeziet op de naleving van externe en interne regels alsmede voorlichting over de naleving van regels geeft.

Een tweetal verschillen tussen de (nieuwe) FG en de wettelijke compliance functie zijn dat de FG een wettelijke geheimhoudingsplicht en een (nieuwe) FG geen instructies mag ontvangen met betrekking tot de uitoefening van zijn functie en wettelijke ontslagbescherming heeft terwijl de wettelijke compliancefunctie dat allebei ontbeert.

Ten aanzien van de privacy officer en de niet wettelijke com-pliance officer geldt dat beiden een wettelijke grondslag in de zin van artikel 62-64 Wbp, 35-37 EPV, artikel 21 Bpr of ar-tikel 31c Bgfo ontberen. Beide functionarissen hebben taken, bevoegdheden en verantwoordelijkheden die gebaseerd zijn op de keuzes die een organisatie hieromtrent maakt. Ten aan-zien van de reikwijdte van de bevoegdheden is een duidelijk verschil dat een compliance officer in beginsel met een bred-er regelend domein van doen heeft dan een privacy officer die alleen toeziet op de naleving van regels met betrekking tot de verwerking van persoonsgegevens.

ConclusieDe titel van dit stuk bevat een vraag die ik uiteindelijk niet ongenuanceerd kan beantwoorden. Een privacy officer, een (nieuwe) FG en een (wettelijke) compliance officer lijken bij een eerste verkenning qua aard en inrichting op elkaar maar er blijken bij nadere beschouwing toch een aantal wezenli-jke verschillen tussen de diverse functies te ontdekken. De privacy officer blijkt niet altijd een compliance officer en een compliance officer blijkt niet altijd geen privacy officer. Beide functies zijn echter van harte welkom bij de privacy praktijk-trainingen van IIR.

mr. J.P. van SchoonhovenDocent praktijktraining ´Privacy Officer 2.0´ en ´Privacy Audit Fundamentals´.Directeur adviesbureau Legal2Practice

VragenHeeft u vragen of opmerkingen naar aanleiding van deze whitepaper? Neem dan contact met ons op via info@iir.nl