Gedaan met laden. U bevindt zich op: Richtlijnen voor de DPO in geval van belangenconflict Functionaris voor gegevensbescherming (DPO)

Richtlijnen voor de DPO in geval van belangenconflict

Relatie met leveranciers

Oktober 2022

De VTC heeft vernomen dat er functionarissen zijn die voor een dienstverlener voor bijvoorbeeld lokale besturen werken als functionaris, maar contacten onderhouden met een - op papier onderscheiden - ICT-leverancier voor lokale besturen.

Zo ontstaat het vermoeden dat de functionaris de producten en diensten van andere leveranciers (te) kritisch bekijkt en dat bij die van de verbonden leverancier niet doet of de kennis opgedaan als functionaris van een lokaal bestuur van de ICT-oplossing van een andere leverancier doorgeeft aan de “eigen” leverancier die het dan in zijn voordeel kan gebruiken.

De VTC is zich er wel van bewust dat er sprake kan zijn van een oligopolie in die zin dat de leveranciers eerder beperkt zijn en er daardoor makkelijker banden met functionarissen kunnen zijn. Dat is een gegeven waarmee verwerkingsverantwoordelijken ook best rekening houden.

Hoe omgaan met belangenconflict?

Het is duidelijk dat de functionaris in de uitoefening van zijn functie geen belangenconflicten mag hebben, vermits aangenomen moet worden dat als gevolg daarvan de functionaris niet over de vereiste onafhankelijkheid beschikt om zijn functie op een goede manier uit te oefenen. De functionaris mag al zeker geen instructies ontvangen met betrekking tot de uitvoering van de taken als functionaris.

De VTC verwijst naar volgende artikelen van de AVG:

  • Artikel 38.3: “De verwerkingsverantwoordelijke en de verwerker zorgen ervoor dat de functionaris voor gegevensbescherming geen instructies ontvangt met betrekking tot de uitvoering van die taken. Hij wordt door de verwerkingsverantwoordelijke of de verwerker niet ontslagen of gestraft voor de uitvoering van zijn taken. De functionaris voor gegevensbescherming brengt rechtstreeks verslag uit aan de hoogste leidinggevende van de verwerkingsverantwoordelijke of de verwerker.”
  • Artikel 38.5: “De functionaris voor gegevensbescherming is met betrekking tot de uitvoering van zijn taken overeenkomstig het Unierecht of het lidstatelijk recht tot geheimhouding of vertrouwelijkheid gehouden.”

Zie ook het Besluit van de Vlaamse Regering van 23 november 2018 betreffende de functionarissen voor gegevensbescherming, vermeld in artikel 9 van het decreet van 18 juli 2008 betreffende het elektronische gegevensverkeer:

  • Artikel 5: “De functionaris voor gegevensbescherming neemt altijd, ongeacht of hij bij een of meer instanties de rol van functionaris voor gegevensbescherming vervult, de nodige objectiviteit, onpartijdigheid en onafhankelijkheid in acht bij de formulering van adviezen en aanbevelingen. (…)”
  • Artikel 6: “De functionaris voor gegevensbescherming houdt alle informatie die aan hem wordt toevertrouwd of die hij kan inzien, horen of lezen in het kader van zijn taken of beroepsactiviteiten, strikt vertrouwelijk. Dat betreft zowel de informatie die op zijn opdracht betrekking heeft, als de informatie over of van zijn vakgenoten.”

Besluit

De functionaris heeft dus de verplichting:

  • de beoordeling te doen in eer en geweten zonder inspraak/instructies of druk van één of andere opdrachtgever;
  • de aldus verkregen informatie vertrouwelijk te behandelen.

Indien dit niet mogelijk is, dient de functionaris vast te stellen dat er een belangenconflict is en dient hij zich van de opdracht te onthouden of minstens uitdrukkelijk en schriftelijk melding te maken van dit conflict. Het verdient tevens aanbeveling om in een dergelijk geval de VTC op de hoogte te brengen.

Van de werkgever-dienstenleverancier wordt verwacht dat deze een strikte scheiding in de werking garandeert.