Data Protection Officer (DPO)
Het nut van een Data Protection Officer
Een Data Protection Officer ziet toe op de naleving van de privacywetgeving binnen een bedrijf. Het is een natuurlijk persoon die door zijn of haar wettelijke taken een onafhankelijke positie heeft binnen een onderneming, ook al is het een eigen werknemer. In het Nederlands worden voor deze functie de benamingen Functionaris voor de Gegevensbescherming (FG) en privacyfunctionaris gebruikt.
Moet een bedrijf een DPO aanstellen?
Tot 25 mei 2018 waren Nederlandse bedrijven volledige vrij om te kiezen of ze een DPO aanstelden. Onder de Wet Bescherming Persoonsgegevens (Wbp) waren er hiervoor namelijk geen verplichtingen vastgelegd. Met de Algemene Verordening Gegevensbescherming (AVG) kwam daar echter verandering in. Bepaalde bedrijven zijn sindsdien verplicht om een Data Protection Officer aan te stellen.
Bedrijven die onder de AVG een Data Protection Officer moeten aanstellen:
- Organisaties die systematisch en op grote schaal persoonsgegevens verwerken.
- Overheidsdiensten uitgezonderd gerechten.
- Bedrijven die bepaalde bijzondere categorieën van persoonlijke gegevens verwerken (bijv. religie of politieke voorkeur) of gegevens gerelateerd aan strafrechtelijke veroordelingen en misdrijven.
Verschil met een Privacy Officer
Veel bedrijven hadden al een (Chief) Privacy Officer of (Chief) Data Privacy Officer. Dit zijn echter geen formele titels en de functie is meestal algemener dan die van Data Protection Officer. Een (Chief) Privacy Officer of (Chief) Data Privacy Officer evalueert continu of en hoe een bedrijf voldoet aan de geldende privacy-wetten en -regelgeving, maar voert niet noodzakelijkerwijs het hele takenpakket van een DPO uit.
Taken van een DPO
De Data Protection Officer heeft zowel een adviserende als een controlerende rol. Het idee is dat deze professional advies geeft over hoe er wordt omgegaan met persoonsgegevens, en eveneens toetst of het advies optimaal is vertaald naar de praktijk. Bovendien is hij of zij ook de schakel tussen het bedrijf en de autoriteiten, in het geval van Nederland is dat de Autoriteit Persoonsgegevens (AP).
Onder de specifieke taken van de DPO vallen onder andere:
- Continue evalueren van het privacybeleid en de uitvoering ervan.
- Advies en duiding geven bij een eventuele data protection impact assessment (onderzoek naar de mogelijke effecten en risico´s van de gegevensverwerking).
- Verzamelen van inventarisaties van gegevensverwerking.
- Behandeling van vragen en klachten van personeelsleden, klanten, patiënten.
- Adviseren over beveiliging en ondersteunende technologie zoals een Document Management Systeem (DMS) in functie van de AVG.
- Samenwerking met en aanspreekpunt voor de toezichthoudende autoriteiten.
Tip: Voor een DPO is het essentieel om te allen tijde onafhankelijk te blijven. Dit kan soms lastig zijn voor een interne werknemer. Vandaar dat veel bedrijven ervoor kiezen om de taak te outsourcen. Bijkomend voordeel is dat een externe DPO vaak ervaring heeft met verschillende bedrijven, en andere functionarissen kent. Dit maakt zijn of haar taak eenvoudiger.
Welke opleiding moet een DPO gevolgd hebben?
Voorlopig wordt er van een Data Protection Officer nog geen certificaat vereist. In praktijk zullen het vooral de mensen zijn die nu (Chief) Privacy Officer of (Chief) Data Privacy Officer zijn, die DPO worden. Veel universiteiten en opleidingscentra bieden wel al modules of cursussen aan die voorbereiden op de taak van een DPO.
Met het oog op de toekomst is het wel het idee dat er in de AVG concrete eisen worden gesteld waaraan een DPO moet voldoen. Een eerste stap is al gezet met de uitwerking van richtlijnen. Zodra deze uitmonden in echte regels, zal er hoogstwaarschijnlijk ook een officieel certificeringssysteem komen voor Data Protection Officers.
Tip: Vraag de DMS Wijzer aan voor 5 cruciale tips over dataprotectie!
