Sinds mei 2018 is gegevensbescherming nog strenger geworden. De AVG (Algemene Verordening Gegevensbescherming) is nu verplicht voor iedereen die persoonsgegevens verwerkt. Veel bedrijven moesten zich vertrouwd maken met de 7 beginselen van gegevensbescherming en zich snel aanpassen. De regels kunnen echter moeilijk te begrijpen en moeilijker uit te voeren zijn, en daarom hebben veel bedrijven besloten een Data Protection Officer (DPO) in dienst te nemen. Hopelijk helpt dit artikel je de rol van een DPO te begrijpen, wanneer je er één moet hebben, en welke voordelen ze voor je organisatie kunnen opleveren.
Wat is een Data Protection Officer?
De DPO (Data Protection Officer) is iemand binnen de onderneming die toeziet op de rechtmatige verwerking van gegevens. Telkens wanneer een bedrijf persoonsgegevens verzamelt en verwerkt, is het zijn verantwoordelijkheid en die van zijn werknemers om er rechtmatig mee om te gaan. Het gaat iedereen aan, van zakenpartners tot klanten en werknemers, die er zeker van moeten kunnen zijn dat hun gegevens beschermd worden. De DPO komt er aan te pas wanneer zich een probleem voordoet in verband met de verwerking van persoonsgegevens en om te garanderen dat de organisatie binnen haar rechten handelt. Hij is onder meer verantwoordelijk voor het opstellen van relevante protocollen voor gegevensverwerking, het instrueren van medewerkers over de gegevensvoorschriften en het toezicht op de naleving van de AVG.
Wanneer moet je een DPO hebben?
Een bedrijf gaat ongeacht de grootte of de bedrijfstak op de een of andere manier met persoonsgegevens om. Het is daarom handig om iemand te hebben die toezicht houdt op de AVG naleving. Er zijn echter drie gevallen waarin het hebben van een DPO verplicht wordt.
-
Publieke autoriteit – Persoonsgegevens worden verwerkt door een overheidsinstantie of autoriteit
-
Grootschalige en regelmatige bewaking – De verwerking van persoonsgegevens is een kernactiviteit en gebeurt op regelmatige basis
-
Grootschalige speciale gegevenscategorieën – verwerking van specifieke “bijzondere” gegevens, d.w.z. gevoelige gegevens, als kernactiviteit en op grote schaal
Soms valt een organisatie niet onder een van deze drie categorieën, maar kan ze toch baat hebben bij een DPO. Ik zal later uitleggen hoe ze kunnen helpen bij AVG naleving. Veel groeiende bedrijven zoeken een DPO om te helpen met de toenemende hoeveelheid persoonsgegevens.
Maar het hebben van een DPO is misschien niet voor iedereen geschikt. Als je in een klein bedrijf werkt, kan het veel gemakkelijker en kostenefficiënter zijn om de verantwoordelijkheid voor AVG naleving over meerdere mensen te verdelen. Of misschien verwerkt je organisatie weinig gegevens die gemakkelijk rechtmatig verwerkt kunnen worden. Het is ook mogelijk dat je al een functioneel en efficiënt systeem ontwikkeld hebt dat geen herstructurering nodig heeft. Het hangt allemaal af van de context van je bedrijf.
Wat doet een DPO?
De Data Protection Officer heeft als doel ervoor te zorgen dat het bedrijf de EU-voorschriften naleeft, die door de nationale gegevensbeschermingsautoriteit van je land worden gehandhaafd. Overtredingen van de AVG kunnen ernstige gevolgen hebben, want organisaties kunnen een boete krijgen van € 20 miljoen of 4% van hun wereldwijde inkomsten. Door de vertrouwelijke aard van hun werk rapporteren de DPO’s gewoonlijk rechtstreeks aan het hoogste managementniveau, zonder enige inmenging van de organisatie.
In het bijzonder houdt de DPO zich bezig met:
-
Het beantwoorden van vragen en het behandelen van zorgen over de AVG
-
Het informeren van de organisatie en hun medewerkers over hun AVG-verplichtingen
-
Toezicht houden op de AVG-naleving door personeel op te leiden en audits uit te voeren
-
Effectbeoordelingen maken van gegevensbescherming
-
Samenwerken en communiceren met de gegevensbeschermingsautoriteit
Welke kwalificaties heeft een DPO nodig?
Het vinden van een gekwalificeerde kandidaat is de essentiële eerste stap. Hoewel de AVG geen specifieke eisen aan een DPO stelt, adviseren ze dat het deskundigheidsniveau van de DPO moet passen bij de complexiteit van de gegevensverwerking. Hier zijn enkele suggesties voor wat je in een kandidaat zou kunnen zoeken:
-
Relevante ervaring met het werken met EU en wereldwijde privacywetten (waaronder het opstellen van privacybeleid, technologische voorzieningen, en werken aan naleving)
-
Gewerkt hebben met IT programmering of infrastructuur (waaronder certificering in informatiebeveiligingsnormen)
-
Ruime ervaring met het uitvoeren van audits van informatiesystemen, certificeringsaudits, en risicobeoordelingen
-
Aantonen dat je met meerdere partijen en leidinggevenden kunt coördineren terwijl je aan meerdere projecten werkt
-
Communicatieve vaardigheden om verschillende afdelingen met verschillende kennisniveaus aan te spreken (o.a. de raad van bestuur, betrokkenen, managers, IT medewerkers en juristen)
-
Het vermogen om in een dynamische omgeving de vereiste kennis op te doen
-
Ervaring in juridische zowel als technische opleidingen en in bewustmaking
-
Ervaring in het succesvol omgaan met verschillende bedrijfsculturen en bedrijfstakken
Het zoeken van een nieuwe medewerker om de functie te vervullen kan een uitdaging zijn. Helaas is de vraag naar bekwame DPO’s erg groot, wat betekent dat het wervingsproces een uitdaging kan zijn en een tijd kan duren.
Een goede plaats om te beginnen zoeken is echter je eigen IT of juridische afdeling, want die begrijpen al hoe en wat voor gegevens verwerkt worden. Omdat AVG naleving een heel dynamisch gebied is, moet je op de hoogte blijven van het vereiste beschermingsniveau en de recente ontwikkelingen. Zo nodig moet die medewerker de nodige AVG opleiding of certificeringen krijgen.
Hoe kan een DPO je voordeel opleveren?
Hier is een korte lijst van manieren waarop een DPO jou en je organisatie voordeel kan opleveren:
-
De DPO loodst je door de complexe AVG regelgeving en zorgt voor een rechtmatige omgang met gegevens
-
Ze verhogen de algemene naleving door bestuursleden, managers en medewerkers te instrueren hoe ze met persoonsgegevens moeten omgaan
-
Bij een inbreuk op de beveiliging geeft de DPO de nodige protocollen over hoe je intern en in het openbaar moet reageren, want je moet het binnen 72 uur aan de autoriteiten melden
-
De DPO kan je adviseren bij de verdeling van technische middelen om de cyberveiligheid te versterken, waaronder gegevensbescherming
Er is nog zoveel meer dat je kunt doen!
Zoals je ziet, kan een DPO de dagelijkse gang van zaken in je organisatie vereenvoudigen. Ze verlichten de druk die komt kijken bij de rechtmatige verwerking van persoonsgegevens. De DPO neemt veel verantwoordelijkheden op zich, kan de door het bedrijf gestelde ontwikkelingsdoelen halen en je uiteindelijk beschermen tegen grote boetes en gegevensinbreuken.
Maar het hebben van een DPO is niet altijd de meest ultieme oplossing als het om gegevensverwerking gaat en is misschien niet altijd een geschikte oplossing. Net als op veel andere gebieden van cyber security speelt elk lid van je organisatie een cruciale rol bij het beschermen en verwerken van persoonsgegevens. Daarom kan elke medewerker baat hebben bij bewustwordingstraining. Ze moeten leren wat persoonsgegevens zijn, wat de 7 principes voor gegevensbescherming zijn, hoe ze met persoonsgegevens moeten omgaan en nog veel meer. Hun bewustzijn vergroten zal je daarom helpen je organisatie veiliger te maken.