De Belgische privacytoezichthouder (GBA) heeft afgelopen december aan ING België een boete van 75.000 euro opgelegd vanwege het feit dat de Functionaris voor Gegevensbescherming (FG) geen onafhankelijke positie had.
Een cliënt van de bank had bij de GBA een klacht ingediend wegens een inbreuk op zijn recht op rectificatie. Dat recht houdt in dat een betrokkene een organisatie mag vragen om zijn persoonsgegevens aan te vullen, te verbeteren of af te schermen. Doordat de bank gebruikmaakte van een gedateerd systeem uit 1995 was het aanpassen van klantgegevens lastig. Simpele aanpassingen, zoals het toevoegen van accenten en trema’s aan klantnamen, konden niet snel worden uitgevoerd.
Naar aanleiding van de klacht is de Belgische toezichthouder een onderzoek gestart naar de ING Bank. In het bijzonder is daarbij de positie van de FG onder de loep genomen. Zo schrijft de AVG voor dat een FG binnen een organisatie onafhankelijk toezicht moet kunnen houden op de naleving van de AVG. In de boetebeslissing toetst de GBA de rol van de FG aan de leden 3 en 6 van artikel 38 van de AVG. Ter waarborging van de onafhankelijke positie van de FG schrijven deze artikelen voor dat de FG rechtstreeks moet kunnen rapporteren aan het hoogste niveau binnen een organisatie én dat eventuele andere taken en plichten die een FG vervult niet mogen leiden tot een belangenconflict.
Aan de hand van de boetebeslissing van de GBA wordt in deze blog ingegaan op deze twee aspecten die de bijzondere rol van de FG binnen een organisatie kenmerken. De vraag die hierbij centraal staat is: Wanneer is op grond van de leden 3 en 6 van artikel 38 AVG sprake van een aantasting van de onafhankelijke rol van de FG?
Rechtstreekse rapportage
Artikel 38 lid 3 AVG schrijft voor dat de FG rechtstreeks moet kunnen rapporteren aan leidinggevenden op het hoogste niveau. De achterliggende gedachte van dit artikel is dat ter bevordering van de onafhankelijke positie van de FG, deze geen instructies van meerderen mag ontvangen met betrekking tot de uitvoering van zijn taken, alsook dat de FG niet gesanctioneerd of benadeeld mag worden door een meerdere in de organisatie.
De FG van de ING Bank rapporteerde via de Chief Risk Officer (CRO) aan het directiecomité – het hoogste orgaan van de bank. In dit geval stelde de GBA dat het rapporteren via een natuurlijk persoon, in casu de CRO, geen probleem vormt aangezien de CRO zelf lid is van het directiecomité en dient als toegangspunt tot dat orgaan. Het is voldoende dat de FG rapporteert aan het hoogste orgaan, dit hoeft dus niet via de CEO – het hoogste individu binnen het directiecomité. Rapportering aan een ander lid van het directiecomité, namelijk de CRO is dus toereikend om van directe rapportering te kunnen spreken.
Daarnaast is de FG zelf een vast lid van de Data Council van de ING Bank; een subcomité en verlengstuk van het directiecomité. De beslissingen van de Data Council zijn bindend voor het directiecomité. Het feit dat de FG een zetel heeft in de Data Council maakt dat ook hierdoor sprake is van een vorm van rechtstreekse rapportering aan het hoogste niveau.
Dit alles brengt met zich mee dat er volgens de GBA geen sprake is van een schending van artikel 38 lid 3 AVG.
Belangenconflict
Vervolgens beoordeelde de GBA of sprake is van een belangenconflict in de zin van artikel 38 lid 6 AVG. Een FG mag in principe binnen een organisatie andere taken en plichten vervullen, zolang dit niet tot een belangenconflict leidt.
In deze zaak had de FG meerdere rollen binnen de organisatie. Zo is hij tevens diensthoofd van de diensten Operational Risk Management (ORM), Information Risk Management (IRM) en Special Investigation Unit (SIU).
In de WP29 Richtlijnen voor functionarissen voor gegevensbescherming wordt nader gedefinieerd wanneer gesproken kan worden van een belangenconflict. In het geval dat een FG binnen de organisatie een andere functie bekleedt waarbij hij of zij de doelstellingen van en de middelen voor de verwerking van persoonsgegevens moet bepalen, is er sprake van een belangenconflict.
Een van de verweren die door de ING Bank werd aangevoerd is dat de FG in zijn hoedanigheid van diensthoofd slechts een toezichts- en controlefunctie uitoefende. Uit het verwerkingsregister bleek echter dat de verschillende diensten waar de FG het diensthoofd was, wel degelijk het doel en de middelen van de gegevensverwerking kunnen bepalen. De GBA stelde dat de hoedanigheid van diensthoofd van de drie diensten ORM, IRM en SIU de verantwoordelijkheid met zich meebrengt om te bepalen wat de doelstellingen en middelen voor de gegevensverwerking binnen die drie departementen zijn. Dit maakte dat de Belgische privacytoezichthouder oordeelde dat de combinatie van de hoedanigheid van FG met de functie als diensthoofd van de drie diensten ORM/IRM/SIU niet houdbaar is zonder een belangenconflict. Met als gevolg dat de Geschillenkamer oordeelde dat sprake is van een inbreuk op artikel 38 lid 6 AVG.
Conclusie
Uit voorgaande blijkt dat het antwoord op de vraag of sprake is van directe rapportage aan het hoogste orgaan binnen een organisatie vooral afhankelijk is van de inrichting van en verhoudingen binnen de organisatie. In een organisatiestructuur zoals bij de ING Bank blijkt vrij snel sprake te zijn van directe rapportage.
Verder blijkt dat binnen organisaties goed overwogen moet worden of het wenselijk is om een FG meerdere rollen te laten vervullen. Het bewustzijn van de noodzaak van onafhankelijkheid van de FG moet in een organisatie ‘top down’ verankerd zijn. De FG van de ING Bank had nog drie andere rollen binnen de organisatie. Gelet hierop en op het feit dat vrij snel sprake is van een verwerking van persoonsgegevens binnen de verschillende organen waar de FG andere taken uitoefende, oordeelde de Belgische toezichthouder dat het vrijwel onmogelijk was om nog onafhankelijk toezicht te kunnen houden op de verwerkingen van persoonsgegevens binnen de departementen waar de FG als diensthoofd fungeerde.
