Zowel de Privacy Officer (PO) als de Functionaris Gegevensbescherming (FG) hebben tot doel de privacy van persoonlijke gegevens te waarborgen. Elk heeft zijn eigen rol daarin, die nogal eens verwisselt worden in de praktijk.
De FG is specifiek bedoeld voor advies én toezicht op naleving van de vereisten in de Algemene Verordening Gegevensbescherming (AVG), deze taak is geregeld in de artikelen 37, 38 en 39 van de AVG. Daaruit vloeit ook voort dat er niet voor elke organisatie een FG verplicht is. Als een FG wordt aangesteld zijn er onder meer zaken te regelen rond de onafhankelijkheidspositie en de verdeling van de werkzaamheden tussen advies en toezicht.
De Privacy Officer kan hands on aan de slag met privacy en gegevensbescherming, haar of zijn rol is afhankelijk van de afspraken in de organisatie. De PO zal vaak DPIA’s (dataprotection impact analyse) ofwel GEB’s (gegevensbechermings effect beoordeling) begeleiden en de formaliteiten verzorgen zoals die geregeld zijn in de AVG. Bij organisaties waar geen FG is aangesteld kan de PO ook heel goed een toezichtshoudende taak invullen bijvoorbeeld door audits in te (laten) stellen op het beleid dat hij of zij mee heeft ontwikkeld en geimplementeerd.
In beide gevallen gaat het er in ieder geval om dat er niet alleen sprake is van een papieren tijger, dat er goede afspraken op papier staan, maar dat die ook worden geïmplementeerd, uitgedragen aan en geïnternaliseerd bij de medewerkers.