Op 28 april heeft de Belgische Gegevensbeschermingsautoriteit (GBA) een – voor Belgische begrippen – recordboete van €50.000 opgelegd aan een (niet bij naam genoemde) organisatie. Deze boete werd opgelegd vanwege een belangenconflict bij de Functionaris voor de Gegevensbescherming (FG) van de organisatie.
In artikel 38 AVG worden verschillende voorwaarden gesteld aan de positie van de FG. Zo mag een FG andere taken en plichten vervullen binnen de organisatie, als deze taken of plichten maar niet tot een belangenconflict leiden. Volgens de Artikel 29-werkgroep (voorganger van de EDPB) betekent dit onder andere dat de persoon in kwestie geen functie kan bekleden waarbij hij of zij het doel en de middelen van een verwerking kan bepalen. Lees hier meer over de positie en taken van de FG.
De aanleiding voor het onderzoek van de GBA was een datalek bij de organisatie, ook wel het ‘W Incident’ genoemd. Uit het onderzoek van de Eerstelijnsdienst – het orgaan dat de klachten en verzoeken die aan de GBA worden toegestuurd ontvangt – bleek dat er meerdere punten waren welke een correcte naleving van de AVG door de organisatie in de weg stonden. Eén daarvan was een belangenconflict bij de FG.
De persoon in kwestie was naast FG ook directeur van de afdeling Audit, Risk en Compliance. In die hoedanigheid stelt hij of zij het doel en de middelen voor de verwerking van persoonsgegevens binnen die afdeling vast. Daarnaast voerde deze persoon de interne audit uit waarin ook het functioneren van de werknemers beoordeeld wordt.
Naar oordeel van de GBA is het niet mogelijk om de functie van FG te combineren met een functie als directeur van een afdeling waarop de FG toezicht moet houden. De persoon in kwestie kan dit toezicht namelijk niet op onafhankelijke wijze uitoefenen. Bovendien is de GBA van mening dat het beoordelen van medewerkers niet strookt met de vertrouwensfunctie van een FG. De GBA acht een inbreuk op artikel 38 lid 6 AVG bewezen en legt daarom een boete van €50.000 op.
De beslissing van de GBA biedt een mooi aanknopingspunt om de functieverdeling binnen uw organisatie nog eens kritisch te bekijken. Om aan te sluiten bij de zienswijze van de Artikel 29-werkgroep, de GBA maar ook de Autoriteit Persoonsgegevens (AP), is het belangrijk om voldoende aandacht te besteden aan het voorkomen van belangenconflicten bij de FG van uw organisatie.
Daarbij kunt u in het achterhoofd houden dat hogere managementfuncties (zoals CEO, CFO en hoofd HR) en functies waarin personen het doel en de middelen van een verwerking vaststellen – dus daadwerkelijk beslissingen t.a.v. het gebruik van persoonsgegevens maken – als functies met een belangenconflict beschouwd kunnen worden. In aanvulling daarop is het ook verstandig om concreet en aantoonbaar beleid te voeren om belangenconflicten te voorkomen, door bijvoorbeeld interne regels op te stellen en hier waarborgen op in te bouwen.
Schakelt u liever een onafhankelijke, externe FG in? Dan helpen wij u graag! Wij kunnen u helpen met zowel een FG op afstand als een inhouse FG.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.