Overslaan naar hoofdinhoud
Pulse

Heeft mijn organisatie een Data Protection Officer (DPO) nodig volgens de GDPR?

Hans van der Meer

Hans van der Meer

Manager Microsoft 365

Leestijd, 7 min.

Met welk doel sla je persoonlijke gegevens op binnen de organisatie? Welke risico’s zijn er verbonden aan het bewaren van deze data? Hoe staat het met de beveiliging en toegankelijkheid van deze gegevens? Hoe waarborg je de privacy van de klanten, de medewerkers en andere stakeholders binnen de organisatie? Zijn jouw medewerkers bewust over hoe zij om dienen te gaan met persoonlijke gegevens?

Bovenstaande vragen komen voort uit de herziene Algemene verordening gegevensbescherming (AVG) en leiden uiteindelijk bij iedere organisatie tot de volgende vraagstelling: Heeft mijn organisatie een Data Protection Officer (DPO) nodig? Het antwoord hierop is JA!

De GDPR / AVG

De herziene Algemene verordening gegevensbescherming (AVG), oftewel de General Data Protection Regulation (GDPR), is een Europa-brede wet die de Nederlandse Wet Bescherming Persoonsgegevens (WBP) per 25 mei 2018 vervangt.

Één van de doelstellingen van de AVG is om transparantie te creëren wie en wanneer er inzage heeft gehad in persoonsgegevens. Een betrokkene moet het recht hebben om de persoonsgegevens die over hem zijn verzameld, in te zien en om dat recht eenvoudig en met redelijke tussenpozen uit te oefenen, zodat hij zich van de verwerking op de hoogte kan stellen en de rechtmatigheid daarvan kan controleren. Dit is slechts één van de bepalingen uit de wet, waarbij het niet naleven kan leiden tot een boete van 20 miljoen euro of 4% van de wereldwijde jaaromzet.

De bewijslast ligt altijd bij de organisatie die deze data verzamelt. Om aan de eisen van deze wet te voldoen, kan een Data Protection Officer (DPO) worden aangesteld. In sommige gevallen moet zelfs een DPO of Functionaris gegevensbescherming worden aangesteld.

De risico’s

De sancties liegen er niet om. Als je niet voldoet aan de wet loop je naast financiële schade nog meer risico’s. Denk hierbij aan ernstige verstoring van de kernactiviteiten, rem op innovatie, imagoschade, afnemend vertrouwen in de organisatie, verlies van gegevens en verlies van intellectuele eigendommen.

In de praktijk krijgen wij vaak de vraag: “Onze ICT is uitbesteed aan een cloud dienstverlener, dan zijn wij toch al voorbereid op de wetgeving?” Dit is niet correct. Het uitbesteden van uw ICT omgeving aan een cloud dienstverlener, kan er indirect wel aan bijdragen doordat de cloud dienstverlener al een aantal technische maatregelen heeft genomen om het systeem te beveiligen. Dat neemt niet weg dat er binnen uw organisatie nog meer maatregelen genomen moeten worden. Bijvoorbeeld het aanleggen van een ‘register van verwerkingen’, waarbij inzicht wordt verkregen welke persoonsgegevens u verwerkt en met welke derde partijen gegevens worden gedeeld. Voor een mogelijk datalek moeten er procedures worden geïmplementeerd, inclusief het documenteren van alle maatregelen die zijn genomen.

Hierbij is belang dat deze maatregelen voldoen aan het principe van Privacy by Design. Dit betekent in de praktijk dat bijvoorbeeld bij het implementeren van IT security maatregelen de meest recente techniek wordt toegepast waarbij bescherming van privacy altijd als uit uitgangspunt wordt genomen.

Definitie van persoonlijke gegevens

Wat zijn nou eigenlijk persoonsgegevens volgens de wet? Het gaat hierbij om alle informatie waarmee een persoon geïdentificeerd kan worden. Dit betekent dat het verder gaat dan alleen NAW-gegevens, zoals een naam, adres of e-mailadres. Bijvoorbeeld het vinden, raadplegen en opslaan (volgens de wet: het verwerken) van informatie via een sociaal mediakanaal behoort ook tot deze informatie.

Wanneer is een DPO noodzakelijk

De wetgeving dwingt organisaties om na te denken over hoe zij omgaan met privacy en persoonlijke gegevens. Voor organisaties waarvan de kernactiviteit het verwerken persoonsgegevens is, overheidsdiensten en organisaties die bijzondere persoonsgegevens verwerken, zijn volgens de wetgeving verplicht om een DPO aan te stellen.


Meer weten over de rol en concrete invulling van DPO voor jouw organisatie? Schrijf je dan in voor het webinar ‘heeft mijn organisatie een DPO nodig? op dinsdag 19 september. Meld je nu aan.


Wat doet een DPO?

Een DPO adviseert je organisatie over deze wetgeving zodat er aan de verplichtingen wordt voldaan én de nodige maatregelen op de juiste wijze worden geïmplementeerd. Hierdoor zal zelfs concurrentievoordeel kunnen worden behaald. Het implementeren van de juiste technische en organisatorische maatregelen, geeft meer vertrouwen in de organisatie, waarborgt een veilige verwerking van persoonsgegevens én zorgt ervoor dat jouw organisatie minder risico loopt.

8 primaire taken

De DPO heeft binnen de organisatie 8 primaire taken:
1. Toezien op naleving van de wet omtrent privacy en data, zowel intern als extern;
2. Herkennen van privacy risico’s en proberen te voorkomen, niet alleen op technisch gebied, maar ook door processen op de juiste wijze in te richten en uit te voeren;
3. Overzicht houden op alle activiteiten rondom databeveiliging;
4. Waar nodig een DPIA (Data Protection Impact Assessment) uitvoeren;
5. Bijhouden van meldingen van gegevensverwerkingen;
6. Behandelen van vragen en klachten van personeelsleden, klanten, patiënten;
7. Bewustwording creëren bij betrokkenen en overige medewerkers;
8. Adviseren over technologie en beveiliging, waaronder voorlichting over Privacy en Security.

Eigen personeel als DPO

Binnen de kaders van de wetgeving is het toegestaan om eigen personeel in te zetten als DPO. Het is echter van belang dat deze medewerkers eerst een gedegen opleidingstraject volgen alvorens zij aan de slag kunnen als DPO.

Om voldoende kennis op te bouwen van de wet- en regelgeving en dit toe te passen binnen een bedrijf is ook ervaring nodig en een netwerk van specialisten op het gebied van privacy. De functie van een DPO is niet te combineren met andere werkzaamheden.

Enerzijds omdat privacy van persoonsgegevens en het wettelijk kader daaromtrent essentieel zijn en anderzijds omdat het geen goede waarborg biedt voor onafhankelijkheid.

DPO in loondienst

Zoals hierboven beschreven is het in de meeste gevallen niet raadzaam om bestaand personeel als DPO te laten acteren. Een andere mogelijkheid is dan om een DPO in loondienst aan te nemen.

Hier zijn echter de nodige regels aan verbonden. Zo moet een DPO voor tenminste twee jaar worden aangesteld, moet deze volledig onafhankelijk werkzaamheden kunnen verrichten en heeft de DPO dezelfde ontslagbescherming als leden van een ondernemingsraad.

Dit betekent dat hij pas ontslagen kan worden na toestemming van de kantonrechter. “Tijdens zijn ambtstermijn kan de functionaris voor gegevensbescherming alleen worden ontslagen wanneer hij niet langer voldoet aan de voorwaarden voor de uitvoering van zijn taken.”

Deze DPO is in veel gevallen 40 uur per week in dienst. Dit kan een onevenredige grote financiële belasting zijn voor uw organisatie.

DPO-as-a-Service

Het inzetten of omscholen van eigen personeel, maar ook het aannemen van een DPO in loondienst brengt de nodige zorgen met zich mee. In veel gevallen is een externe Data Protection Officer voor uw organisatie de meest optimale oplossing om de rol van DPO te vervullen. Het outsourcen van de functie van DPO kent onder andere de volgende voordelen:
• Het biedt een betere waarborg voor de onafhankelijkheid van de DPO. Deze wordt immers niet gehinderd door ‘interne politiek’ of andere zaken die binnen een organisatie spelen;
• Daarnaast hebben externe DPO’s meer ervaring met andere bedrijven en toegang tot een netwerk van andere Data Protection Officers waardoor meer relevante informatie en kennis beschikbaar is;
• Een externe DPO wordt continue opgeleid en bijgeschoold aan de hand van jurisprudentie, aanscherping van het wettelijke kader en certificeringsnormen die in de komende jaren van kracht worden;
• Met een externe DPO heeft u geen aanvullende opleidingskosten, salariskosten en overige overheadkosten;
• Een externe DPO wordt ingezet wanneer dit nodig is en is daardoor (in veel gevallen) niet 40 uur per week voor alleen úw organisatie werkzaam. Hierdoor kunt u kostenefficiënt compliant zijn aan de wetgeving.

Naast de bovengenoemde voordelen is het bedrijfseconomisch niet altijd haalbaar om zelf voldoende expertise op te bouwen en te onderhouden. Uw huidige medewerkers hebben genoeg taken te vervullen die horen bij de kernactiviteiten van uw organisatie en hebben geen focus en tijd om dit ‘erbij’ te doen.

De implementatie van de GDPR/AVG kan en mag niet worden onderschat! Het niet of te laat beginnen met de implementatie van maatregelen die nodig zijn om een organisatie compliant te laten acteren binnen de kaders van deze wet kan zeer verstrekkende gevolgen met zich meebrengen.

Meer weten over de rol en concrete invulling van DPO voor jouw organisatie? Schrijf je dan in voor het webinar ‘heeft mijn organisatie een DPO nodig? op dinsdag 19 september. Meld je nu aan.

Doe de AVG Quickscan

Download de gratis quickscan en beantwoord de vragen in het template.

Educatie

Finance

  • Een vergadering waar een man en vrouw de hand schudden

    Sure thing: Banks will have to move to a flexible Datacenter based largely on Public Cloud capabilities

    The banking sector is caught in the middle of the digital transformation. Under pressure from PSD2, Basel III, Instant Payments, GDPR and wildly spiraling costs for digital infrastructure, banks are having to make major changes. How can these modern requirements be turned into a strategic advantage? Banks are bracing themselves for the introduction of PSD2. […]

  • uitzicht op een stad

    Gegevens verzamelen is water besparen

    Het ruim 140 jaar oude financiële dienstverleningsbedrijf Ibercaja zet zich volledig in voor de noordoostelijke regio van Spanje. Om de klanten op het platteland te steunen en de lokale problemen met waterschaarste op te lossen, helpt het bedrijf de boeren nu met de digitale transformatie van hun gewasbeheer. Essentieel in deze transformatie zijn de Internet […]

Government

  • SMART CITIES – heeft jouw stad het in huis?

    SMART CITIES – heeft jouw stad het in huis?

    Het is niet het zoveelste politieke toverwoord, een ‘slimme stad’ is een tastbaar begrip dat onze levens enorm kan verbeteren. Elke stad die op de juiste manier door technologie ondersteund wordt kan zichzelf tegenwoordig transformeren tot een intelligent ecosysteem. Zo’n stad is in staat om samen te werken met haar inwoners, haar medewerkers slagvaardiger te […]

  • skyline den haag

    Kunstmatige intelligentie: hoe beleidsmakers AI verantwoord kunnen omarmen

    Hoe werkt kunstmatige intelligentie, ook wel AI genoemd, nou precies? Wat voor typen algoritmes zijn er, en hoe weet je of gebruikte data representatief is? En nog belangrijker: kan AI van toegevoegde waarde zijn bij besluitvorming, terwijl menselijke controle, transparantie en privacy leidend blijven? Deze en andere vragen stonden in week vier centraal in de […]

Manufacturing

  • Een intelligent productiebedrijf

    Een intelligent productiebedrijf

    Een workshop voor bedrijven in de industrie over digitale transformatie Als je werkzaam bent voor een bedrijf binnen de industrie zijn de termen predicitive maintenance, smart industry, industry 4.0 en industrial internet of things (IoT) je vast niet onbekend. Deze mogelijkheden die nu beschikbaar zijn worden mede mogelijk gemaakt door drie factoren. De hoeveelheid data […]

  • een close-up van voedsel

    Het verhaal achter de eerste AI Whiskey

    In Zweden doen ze iets dat uniek is in de wereld: ze distilleren er whiskey. Waarom dat uniek is? Omdat algoritmes en andere AI technieken het sterke drankje nét wat lekkerder maken.

Retail

Zorg

  • een meisjeszitting op een lijst

    Gezondheidszorg vanuit huis

    De afgelopen weken heeft de wereld een steile leercurve doorgemaakt wanneer het gaat om gezondheidszorg op afstand. Maar wat kunnen we nu leren van degenen die al enige tijd op afstand voor hun patiënten zorgen? We nemen een kijkje in de wereld van gezondheidszorg vanuit huis. Voor een derde van de Europeanen die een chronische […]

  • Two people working in Healthcare with a Windows device

    Leverancier van medische hulpmiddelen bouwt toekomstbestendig Azure-platform

    Het Deense bedrijf Coloplast maakt innovatieve zorgproducten voor mensen met intieme gezondheidsproblemen. Coloplast wilde een blijvende, productieve relatie onderhouden met klanten en de behoeften van patiënten beter doorgronden. Om dat te bewerkstelligen besloot het bedrijf van een on-premises datawarehouse- en BI (Business Intelligence)-oplossing over te stappen op Microsoft Power BI, Azure SQL Data Warehouse en […]