Het nut van een Data Protection Officer

Een Data Protection Officer ziet toe op de naleving van de privacywetgeving binnen een bedrijf. Het is een natuurlijk persoon die door zijn of haar wettelijke taken een onafhankelijke positie heeft binnen een onderneming, ook al is het een eigen werknemer. In het Nederlands worden voor deze functie de benamingen Functionaris voor de Gegevensbescherming (FG) en privacyfunctionaris gebruikt.

Moet een bedrijf een DPO aanstellen?

Tot 25 mei 2018 waren Nederlandse bedrijven volledige vrij om te kiezen of ze een DPO aanstelden. Onder de Wet Bescherming Persoonsgegevens (Wbp) waren er hiervoor namelijk geen verplichtingen vastgelegd. Met de Algemene Verordening Gegevensbescherming (AVG)De General Data Protection Regulation (GDPR), of Algemene Verordening Gegevensbescherming (AVG) is een uniforme Europese wet die de bescherming van persoonsgegevens verzekert. Ze overschreef op 25 mei 2018 de nationale privacywetten, zoals de Nederlandse Wet bescherming persoonsgegevens (Wbp). kwam daar echter verandering in. Bepaalde bedrijven zijn sindsdien verplicht om een Data Protection Officer aan te stellen.

Bedrijven die onder de AVG een Data Protection Officer moeten aanstellen:

• Organisaties die systematisch en op grote schaal persoonsgegevens verwerken.
• Overheidsdiensten uitgezonderd gerechten.
• Bedrijven die bepaalde bijzondere categorieën van persoonlijke gegevens verwerken (bijv. religie of politieke voorkeur) of gegevens gerelateerd aan strafrechtelijke veroordelingen en misdrijven.

Verschil met een Privacy Officer

Veel bedrijven hadden al een (Chief) Privacy Officer of (Chief) Data Privacy Officer. Dit zijn echter geen formele titels en de functie is meestal algemener dan die van Data Protection Officer. Een (Chief) Privacy Officer of (Chief) Data Privacy Officer evalueert continu of en hoe een bedrijf voldoet aan de geldende privacy-wetten en -regelgeving, maar voert niet noodzakelijkerwijs het hele takenpakket van een DPO uit.

Taken van een DPO

De Data Protection Officer heeft zowel een adviserende als een controlerende rol. Het idee is dat deze professional advies geeft over hoe er wordt omgegaan met persoonsgegevens, en eveneens toetst of het advies optimaal is vertaald naar de praktijk. Bovendien is hij of zij ook de schakel tussen het bedrijf en de autoriteiten, in het geval van Nederland is dat de Autoriteit Persoonsgegevens (AP).

Onder de specifieke taken van de DPO vallen onder andere:

• Continue evalueren van het privacybeleid en de uitvoering ervan.
• Advies en duiding geven bij een eventuele data protection impact assessment (onderzoek naar de mogelijke effecten en risico´s van de gegevensverwerking).
• Verzamelen van inventarisaties van gegevensverwerking.
• Behandeling van vragen en klachten van personeelsleden, klanten, patiënten.
• Adviseren over beveiligingIT-security is het geheel van beveiligingsmaatregelen om ervoor te zorgen dat bedrijfsinformatie beschermd wordt. Hiervoor worden verschillende soorten technologie gebruikt. Het kan gaan over de beveiliging van digitale data, maar ook van data op fysieke dragers (die met technologische middelen beschermd worden).  en ondersteunende technologie zoals een Document Management Systeem (DMS) in functie van de AVGOnder de AVG zijn bedrijven verplicht om de rechten van betrokkenen nog beter te waarborgen. Een klant of (ex-)werknemer kan eisen om zijn gegevens in te kijken, te verwijderen of zelf in handen te krijgen. Met een DMS kan een bedrijf de informatie snel opvragen en de verzoeken efficiënt behandelen. In uitzonderlijke gevallen kan ervoor gekozen worden om bepaalde informatieverzoeken niet in te willigen. In dat geval moet in het DMS een reden opgegeven worden. Zo kan een bedrijf zich bij een eventueel geschil verantwoorden. De aanvragen van klanten kunnen via verschillende kanalen binnenkomen: per e-mail, telefoon, op locatie, etc. Een DMS kan echter ook aan een webportaal gekoppeld worden. Dit webportaal bespaart zowel de betrokkene als de organisatie heel wat tijd..
• Samenwerking met en aanspreekpunt voor de toezichthoudende autoriteiten.

Tip: Voor een DPO is het essentieel om te allen tijde onafhankelijk te blijven. Dit kan soms lastig zijn voor een interne werknemer. Vandaar dat veel bedrijven ervoor kiezen om de taak te outsourcen. Bijkomend voordeel is dat een externe DPO vaak ervaring heeft met verschillende bedrijven, en andere functionarissen kent. Dit maakt zijn of haar taak eenvoudiger.

Welke opleiding moet een DPO gevolgd hebben?

Voorlopig wordt er van een Data Protection Officer nog geen certificaat vereist. In praktijk zullen het vooral de mensen zijn die nu (Chief) Privacy Officer of (Chief) Data Privacy Officer zijn, die DPO worden. Veel universiteiten en opleidingscentra bieden wel al modules of cursussen aan die voorbereiden op de taak van een DPO.

Met het oog op de toekomst is het wel het idee dat er in de AVG concrete eisen worden gesteld waaraan een DPO moet voldoen. Een eerste stap is al gezet met de uitwerking van richtlijnen. Zodra deze uitmonden in echte regels, zal er hoogstwaarschijnlijk ook een officieel certificeringssysteem komen voor Data Protection Officers.

Tip: Vraag de DMS WijzerDe DMS Wijzer is een essentiële leidraad voor projectleiders die zich oriënteren op de aanschaf van een (nieuw) pakket voor documentbeheer. U vindt er onder andere: prijzen, een pakkettenvergelijk, tips, belangrijke valkuilen en essentiële informatie wat betreft gegevensbescherming in een DMS. aan voor 5 cruciale tips over dataprotectie!