GDPR (5) Heb je een Data Protection Officer nodig?

19 augustus 2017

Er is een grote kans dat de Data Protection Officer (DPO) of in het Nederlands de Functionaris voor Gegevensbescherming een belangrijke plaats zal innemen in je GDPR-traject. In deze aflevering bekijken we welke bedrijven een DPO moeten hebben en wat de rol van die persoon is.

Het is niet zo dat de GDPR elke verantwoordelijke verplicht een DPO aan te stellen. Tijdens de voorbereidende besprekingen leek het er lange tijd op dat de verplichting zou gelden voor alle firma’s met minstens 250 werknemers. Deze bepaling is echter niet overeind gebleven. De verplichting is nu meer gebaseerd op de aard van de onderneming. Als er bij de activiteiten van een organisatie een reëel risico op ernstige inbreuken tegen de privacy bestaat, door de hoeveelheid verwerkte data, de aard van de data of de frequentie van de verwerkingen, moet er een DPO zijn die zorgt dat je in regel bent met de wetgeving. Een aantal organisaties moeten sowieso een DPO aan boord nemen: alle overheidsorganisaties, alle bedrijven die als hoofdbezigheid speciale categorieën van persoonsgegevens verwerken, alle bedrijven of organisaties die als hoofdbezigheid op regelmatige basis en systematisch op grote schaal persoonsgegevens verzamelen en verwerken.

Ook als het niet wettelijk verplicht is, is het aan te raden iemand expliciet de rol van DPO te geven. Zo heb je ook meteen een voortrekker voor het voorbereidingstraject. De DPO zal ervoor zorgen dat in je bedrijf een cultuur van gegevensbescherming heerst, dat het item data privacy op de agenda komt en dat je firma tijdig klaar is voor de GDPR. De DPO zal voor zijn taak de tijd moeten krijgen om de wetgeving te bestuderen en zich in de materie in te werken, maar die kennis kan daarna wel doorstromen naar de rest van de organisatie. Het is ook logisch dat de DPO een leidende rol speelt in het GDPR-project.

Voorwaarden voor de Data Protection Officer

Een bedrijf dat een DPO moet aanstellen, moet rekening houden met een aantal voorschriften. De naam en contactgegevens van de DPO moeten aan de Privacycommissie bekendgemaakt worden. De DPO moet deskundig zijn inzake privacywetgeving maar ook een grondige kennis hebben van zijn eigen bedrijf, de werking ervan en de markt waarin het opereert. Hij moet ook voldoende gezag hebben en voldoende middelen krijgen om zijn taak te vervullen. Er wordt verwacht dat hij aan het senior management rapporteert en dus voldoende onafhankelijk is. Er mag ook geen belangenvermenging optreden. Daarom zal bijvoorbeeld een IT-verantwoordelijke meestal niet tegelijkertijd DPO mogen zijn, omdat hij anders de beveiligingsmaatregelen zou moeten controleren die zijn eigen team opzet. Hoe een en ander concreet wordt ingevuld, hangt uiteraard af van de omvang van de organisatie. In een klein bedrijf zal de DPO-rol geen full time opdracht zijn, maar met andere taken gecombineerd worden. De DPO-functie kan ook perfect door een externe persoon worden uitgeoefend.

De GDPR schrijft niet voor welk diploma of welke certificaten een DPO moet hebben en legt ook niet vast of juridische dan wel organisatorische of technische voorkennis en ervaring primeren. Zelfs in een kleine organisatie is uiteraard een minimum aan kennis nodig. Het loont zeker om buiten de kennisopbouw, die kan gebeuren op allerlei fora, toch ook te investeren in enkele dagen specifieke opleiding.

Group Joos zelf heeft al heel vroeg, in het voorjaar van 2016, een DPO aangesteld. Die persoon komt niet uit de ICT-omgeving, maar heeft een achtergrond in business en compliance. Haar doorgedreven opleiding was het startpunt voor het opbouwen van kennis binnen ons bedrijf. Zij heeft meteen gezorgd voor het opstellen van een data privacy policy, die grondig besproken is met het management en zelfs de Raad van Bestuur. Die tekst vormt de basis voor heel het verdere GDPR-project. Binnen dat project leidt de DPO momenteel de inventarisatie van persoonsgegevens en gegevensverwerkingen. Een hele klus in een firma die precies de verwerking van vertrouwelijke gegevens als core business heeft.

Een DPO is een voordeel

Een DPO hebben is dus zeker een groot voordeel, ook al is het in je specifieke situatie niet wettelijk verplicht. De DPO speelt een rol in elk van de zes voorbereidende stappen die we hebben gedefinieerd in aflevering 4 van de blog.

Het is trouwens zo dat er bij verschillende andere procedures rond persoonsgegevens nog belangrijke taken weggelegd zijn voor de DPO. Hij wordt ingeschakeld bij het opzetten van elke nieuwe verwerking van persoonsgegevens en geeft advies over risico’s en noodzakelijke beschermingsmaatregelen. Hij is betrokken bij de opvolging van incidenten of echte datalekken en is daarvoor het eerste aanspreekpunt, zowel voor klanten en betrokkenen als voor de toezichthoudende autoriteiten. Tenslotte verzekert de DPO als een primaire taak de rechten van de betrokkenen. Hij is hun rechtstreeks contactpunt. De DPO zullen we dus in andere afleveringen van de blog nog regelmatig tegenkomen.

In aflevering 6 en 7 zullen we de inventaris van persoonsgegevens en het register van verwerkingen van persoonsgegevens onder de loep nemen, vermits dat voor elke verantwoordelijke het uitgangspunt vormt voor zijn voorbereiding op de GDPR.

Viktor D’Huys is ICT-manager en binnen Group Joos onder meer verantwoordelijk voor informatiebeveiliging. Hij coördineert het GDPR-project. Hij is Certified Information Security Manager (ISACA) en Certified Information Privacy Professional/Europe (IAPP).

Hebt u nog vragen of wil u reageren, neem gerust contact op met ons via gdpr@groupjoos.com

LOADING