Overslaan naar hoofdinhoud
Pulse

Heeft mijn organisatie een Data Protection Officer (DPO) nodig volgens de GDPR?

Hans van der Meer

Hans van der Meer

Manager Microsoft 365

Leestijd, 7 min.

Met welk doel sla je persoonlijke gegevens op binnen de organisatie? Welke risico’s zijn er verbonden aan het bewaren van deze data? Hoe staat het met de beveiliging en toegankelijkheid van deze gegevens? Hoe waarborg je de privacy van de klanten, de medewerkers en andere stakeholders binnen de organisatie? Zijn jouw medewerkers bewust over hoe zij om dienen te gaan met persoonlijke gegevens?

Bovenstaande vragen komen voort uit de herziene Algemene verordening gegevensbescherming (AVG) en leiden uiteindelijk bij iedere organisatie tot de volgende vraagstelling: Heeft mijn organisatie een Data Protection Officer (DPO) nodig? Het antwoord hierop is JA!

De GDPR / AVG

De herziene Algemene verordening gegevensbescherming (AVG), oftewel de General Data Protection Regulation (GDPR), is een Europa-brede wet die de Nederlandse Wet Bescherming Persoonsgegevens (WBP) per 25 mei 2018 vervangt.

Één van de doelstellingen van de AVG is om transparantie te creëren wie en wanneer er inzage heeft gehad in persoonsgegevens. Een betrokkene moet het recht hebben om de persoonsgegevens die over hem zijn verzameld, in te zien en om dat recht eenvoudig en met redelijke tussenpozen uit te oefenen, zodat hij zich van de verwerking op de hoogte kan stellen en de rechtmatigheid daarvan kan controleren. Dit is slechts één van de bepalingen uit de wet, waarbij het niet naleven kan leiden tot een boete van 20 miljoen euro of 4% van de wereldwijde jaaromzet.

De bewijslast ligt altijd bij de organisatie die deze data verzamelt. Om aan de eisen van deze wet te voldoen, kan een Data Protection Officer (DPO) worden aangesteld. In sommige gevallen moet zelfs een DPO of Functionaris gegevensbescherming worden aangesteld.

De risico’s

De sancties liegen er niet om. Als je niet voldoet aan de wet loop je naast financiële schade nog meer risico’s. Denk hierbij aan ernstige verstoring van de kernactiviteiten, rem op innovatie, imagoschade, afnemend vertrouwen in de organisatie, verlies van gegevens en verlies van intellectuele eigendommen.

In de praktijk krijgen wij vaak de vraag: “Onze ICT is uitbesteed aan een cloud dienstverlener, dan zijn wij toch al voorbereid op de wetgeving?” Dit is niet correct. Het uitbesteden van uw ICT omgeving aan een cloud dienstverlener, kan er indirect wel aan bijdragen doordat de cloud dienstverlener al een aantal technische maatregelen heeft genomen om het systeem te beveiligen. Dat neemt niet weg dat er binnen uw organisatie nog meer maatregelen genomen moeten worden. Bijvoorbeeld het aanleggen van een ‘register van verwerkingen’, waarbij inzicht wordt verkregen welke persoonsgegevens u verwerkt en met welke derde partijen gegevens worden gedeeld. Voor een mogelijk datalek moeten er procedures worden geïmplementeerd, inclusief het documenteren van alle maatregelen die zijn genomen.

Hierbij is belang dat deze maatregelen voldoen aan het principe van Privacy by Design. Dit betekent in de praktijk dat bijvoorbeeld bij het implementeren van IT security maatregelen de meest recente techniek wordt toegepast waarbij bescherming van privacy altijd als uit uitgangspunt wordt genomen.

Definitie van persoonlijke gegevens

Wat zijn nou eigenlijk persoonsgegevens volgens de wet? Het gaat hierbij om alle informatie waarmee een persoon geïdentificeerd kan worden. Dit betekent dat het verder gaat dan alleen NAW-gegevens, zoals een naam, adres of e-mailadres. Bijvoorbeeld het vinden, raadplegen en opslaan (volgens de wet: het verwerken) van informatie via een sociaal mediakanaal behoort ook tot deze informatie.

Wanneer is een DPO noodzakelijk

De wetgeving dwingt organisaties om na te denken over hoe zij omgaan met privacy en persoonlijke gegevens. Voor organisaties waarvan de kernactiviteit het verwerken persoonsgegevens is, overheidsdiensten en organisaties die bijzondere persoonsgegevens verwerken, zijn volgens de wetgeving verplicht om een DPO aan te stellen.


Meer weten over de rol en concrete invulling van DPO voor jouw organisatie? Schrijf je dan in voor het webinar ‘heeft mijn organisatie een DPO nodig? op dinsdag 19 september. Meld je nu aan.


Wat doet een DPO?

Een DPO adviseert je organisatie over deze wetgeving zodat er aan de verplichtingen wordt voldaan én de nodige maatregelen op de juiste wijze worden geïmplementeerd. Hierdoor zal zelfs concurrentievoordeel kunnen worden behaald. Het implementeren van de juiste technische en organisatorische maatregelen, geeft meer vertrouwen in de organisatie, waarborgt een veilige verwerking van persoonsgegevens én zorgt ervoor dat jouw organisatie minder risico loopt.

8 primaire taken

De DPO heeft binnen de organisatie 8 primaire taken:
1. Toezien op naleving van de wet omtrent privacy en data, zowel intern als extern;
2. Herkennen van privacy risico’s en proberen te voorkomen, niet alleen op technisch gebied, maar ook door processen op de juiste wijze in te richten en uit te voeren;
3. Overzicht houden op alle activiteiten rondom databeveiliging;
4. Waar nodig een DPIA (Data Protection Impact Assessment) uitvoeren;
5. Bijhouden van meldingen van gegevensverwerkingen;
6. Behandelen van vragen en klachten van personeelsleden, klanten, patiënten;
7. Bewustwording creëren bij betrokkenen en overige medewerkers;
8. Adviseren over technologie en beveiliging, waaronder voorlichting over Privacy en Security.

Eigen personeel als DPO

Binnen de kaders van de wetgeving is het toegestaan om eigen personeel in te zetten als DPO. Het is echter van belang dat deze medewerkers eerst een gedegen opleidingstraject volgen alvorens zij aan de slag kunnen als DPO.

Om voldoende kennis op te bouwen van de wet- en regelgeving en dit toe te passen binnen een bedrijf is ook ervaring nodig en een netwerk van specialisten op het gebied van privacy. De functie van een DPO is niet te combineren met andere werkzaamheden.

Enerzijds omdat privacy van persoonsgegevens en het wettelijk kader daaromtrent essentieel zijn en anderzijds omdat het geen goede waarborg biedt voor onafhankelijkheid.

DPO in loondienst

Zoals hierboven beschreven is het in de meeste gevallen niet raadzaam om bestaand personeel als DPO te laten acteren. Een andere mogelijkheid is dan om een DPO in loondienst aan te nemen.

Hier zijn echter de nodige regels aan verbonden. Zo moet een DPO voor tenminste twee jaar worden aangesteld, moet deze volledig onafhankelijk werkzaamheden kunnen verrichten en heeft de DPO dezelfde ontslagbescherming als leden van een ondernemingsraad.

Dit betekent dat hij pas ontslagen kan worden na toestemming van de kantonrechter. “Tijdens zijn ambtstermijn kan de functionaris voor gegevensbescherming alleen worden ontslagen wanneer hij niet langer voldoet aan de voorwaarden voor de uitvoering van zijn taken.”

Deze DPO is in veel gevallen 40 uur per week in dienst. Dit kan een onevenredige grote financiële belasting zijn voor uw organisatie.

DPO-as-a-Service

Het inzetten of omscholen van eigen personeel, maar ook het aannemen van een DPO in loondienst brengt de nodige zorgen met zich mee. In veel gevallen is een externe Data Protection Officer voor uw organisatie de meest optimale oplossing om de rol van DPO te vervullen. Het outsourcen van de functie van DPO kent onder andere de volgende voordelen:
• Het biedt een betere waarborg voor de onafhankelijkheid van de DPO. Deze wordt immers niet gehinderd door ‘interne politiek’ of andere zaken die binnen een organisatie spelen;
• Daarnaast hebben externe DPO’s meer ervaring met andere bedrijven en toegang tot een netwerk van andere Data Protection Officers waardoor meer relevante informatie en kennis beschikbaar is;
• Een externe DPO wordt continue opgeleid en bijgeschoold aan de hand van jurisprudentie, aanscherping van het wettelijke kader en certificeringsnormen die in de komende jaren van kracht worden;
• Met een externe DPO heeft u geen aanvullende opleidingskosten, salariskosten en overige overheadkosten;
• Een externe DPO wordt ingezet wanneer dit nodig is en is daardoor (in veel gevallen) niet 40 uur per week voor alleen úw organisatie werkzaam. Hierdoor kunt u kostenefficiënt compliant zijn aan de wetgeving.

Naast de bovengenoemde voordelen is het bedrijfseconomisch niet altijd haalbaar om zelf voldoende expertise op te bouwen en te onderhouden. Uw huidige medewerkers hebben genoeg taken te vervullen die horen bij de kernactiviteiten van uw organisatie en hebben geen focus en tijd om dit ‘erbij’ te doen.

De implementatie van de GDPR/AVG kan en mag niet worden onderschat! Het niet of te laat beginnen met de implementatie van maatregelen die nodig zijn om een organisatie compliant te laten acteren binnen de kaders van deze wet kan zeer verstrekkende gevolgen met zich meebrengen.

Meer weten over de rol en concrete invulling van DPO voor jouw organisatie? Schrijf je dan in voor het webinar ‘heeft mijn organisatie een DPO nodig? op dinsdag 19 september. Meld je nu aan.

Doe de AVG Quickscan

Download de gratis quickscan en beantwoord de vragen in het template.

Ontdek meer gerelateerde artikelen per branche:

Educatie

  • Een AVG-handleiding voor universiteiten

    Een AVG-handleiding voor universiteiten

    De nieuwe Europese wet 'Algemene verordening gegevensbescherming (AVG)' wordt 25 mei van kracht. In dit gratis eBook wordt uitgelegd welke stappen je kan nemen om je universiteit te laten voldoen aan de regelgeving. Ook bevat het andere nuttige informatie. Je universiteit is op reis Je universiteit is op reis. Een doorlopende reis met veel deelnemers: […]

  • Studenten zijn beter bij de les dankzij FeedbackFruits en Teams

    Studenten zijn beter bij de les dankzij FeedbackFruits en Teams

    mboRijnland boekt succes met blended leren  Studenten van mboRijnland zijn beter bij de les betrokken en intrinsiek gemotiveerder. Hoe? De online, blended lessen via Teams en FeedbackFruits hebben veel positieve effecten op studenten én docenten. “Dit is een gave ontwikkeling,” zegt Linda de Bruin, rekendocent Welzijn en Gezondheidszorg. Ze is erg enthousiast over de resultaten en hoe deze […]

Financiële dienstverlening

  • 5 tips voor digitale financiële dienstverlening

    5 tips voor digitale financiële dienstverlening

    Van video-overleg en slim plannen tot online samenwerken en veilig werken: graag geven we je 5 tips om het meeste te halen uit de mogelijkheden die ICT biedt voor boekhouders. Digitalisering verandert de wereld, drastisch en in een hoog tempo. Dat heeft ook gevolgen voor het werk van boekhouders: vrijwel alle communicatie verloopt digitaal, databases […]

  • Kansen voor de moderne boekhouder

    Kansen voor de moderne boekhouder

    De wereld van boekhouding is sinds de digitalisering snel en rigoureus veranderd. Juist die ontwikkelingen bieden de boekhouder van nu veel kansen. Je zult vaak merken dat je klanten steeds meer zelf kunnen, met dank aan de digitalisering. Neem populaire boekhoudprogramma’s als Moneybird en Gekko. Zelf facturen sturen, bonnen inboeken, btw-aangiftes berekenen én jaarrekeningen maken: […]

Overheid

Productie

  • Rustig slapen tijdens een verbouwing

    Rustig slapen tijdens een verbouwing

    Ondernemers ondersteunen in hun business-uitdagingen; dat is waar Microsoft en haar partners graag een rol in spelen. De ambities en passies van ondernemers vormen de basis van verhalen die wij hier graag met jou delen. Hiermee willen wij jou inspireren en laten zien hoe technische oplossingen ondernemers helpen om alle elementen in hun bedrijf te […]

  • iemand zit aan een bureau met een laptop op tafel

    Mijn menselijk leiderschaps kompas in tijden van somberheid

    Microsoft’s Max Tchapeyou biedt een zeer persoonlijk standpunt, verwijzend naar de zes manieren waarop hij effectiever – en positiever – met zijn team heeft gewerkt.

Retail

  • AVG en de detailhandel: Vier AVG-vereisten en hoe Microsoft daarbij kan helpen

    AVG en de detailhandel: Vier AVG-vereisten en hoe Microsoft daarbij kan helpen

      Ontdek hoe we je kunnen helpen om te voldoen aan de AVG-vereisten met oplossingen van nu: Je huidige risicoprofiel evalueren “Hoe weet ik waarmee ik al voldoe aan de vereisten en waarop ik me nu moet richten?” Dit is één van de meest gestelde vragen van detailhandelaren over de AVG. Het is ook één van […]

  • Retailers moeten AI inzetten, wij helpen je!

    Retailers moeten AI inzetten, wij helpen je!

    Succesvolle retailers hebben terugkerende klanten, groeiende marges en een accurate bevoorrading dankzij inzet van data. Wil jij dat ook? Breek dan bestaande datasilo’s af, bouw een data-gestuurd operating model en stop met hadnmatige data-analyse! Kunstmatige intelligentie (AI) geeft je nu grip op de resultaten van morgen. Met onze technologie, ons netwerk, training en een geïntegreerd […]

Zorg

  • Enterprise team achieving in modern workplace.

    Zorgverlener Abrona: privacy groter dan de AVG

    Abrona nam het belang van privacy en databescherming al eerder op in zijn it-visie.

  • Een foto van het Savant kantoor

    Het Barbapapa-model van Savant Zorg

    Flexibiliteit en veilig werken met Office 365 en Enterprise Mobility en Security Automatisering behoort werknemers niet te belemmeren bij de uitvoering van hun taken, maar hun werkzaamheden juist te vereenvoudigen. Bij Savant Zorg zijn ze daar met hulp van Cloud Life en Microsoft uitstekend in geslaagd. Joris van den Eijnden, Manager ICT en Functionaris Gegevensbescherming: […]

Ontdek meer gerelateerde artikelen per dossier:

Digitale transformatie

Klantverhalen

  • Een foto van het Savant kantoor

    Het Barbapapa-model van Savant Zorg

    Flexibiliteit en veilig werken met Office 365 en Enterprise Mobility en Security Automatisering behoort werknemers niet te belemmeren bij de uitvoering van hun taken, maar hun werkzaamheden juist te vereenvoudigen. Bij Savant Zorg zijn ze daar met hulp van Cloud Life en Microsoft uitstekend in geslaagd. Joris van den Eijnden, Manager ICT en Functionaris Gegevensbescherming: […]

Partners

  • Office 365 – Partner of Record

    Office 365 – Partner of Record

      In deze blog post leggen we uit hoe je als Microsoft Partner er voor kunt zorgen dat je in de Office 365 omgeving van je klant staat vermeld als Partner of Record en waarom dat handig is.   1) Log in op de Office 365 omgeving van de klant. 2) Klik links op het […]

Pers

  • CEO leading a meeting

    VNG en Microsoft werken samen aan ontwikkeling moderne veilige overheidswerkplek

    De gezamenlijke campagne tussen VNG en Microsoft is van start gegaan, beiden partijen hebben de nieuwe gemeentelijke voorwaarden ondertekend. Goed nieuws vanaf 1 februari kunnen alle Nederlandse gemeenten gebruik maken van de VNG overheidswerkplek. De overheidswerkplek bestaat uit nieuwe juridische gemeentelijke voorwaarden, een op maat gemaakte VNG-Microsoft overheidswerkplek en gunstige commerciële voorwaarden. Het doel van […]

Pers / Nieuws

  • CEO leading a meeting

    VNG en Microsoft werken samen aan ontwikkeling moderne veilige overheidswerkplek

    De gezamenlijke campagne tussen VNG en Microsoft is van start gegaan, beiden partijen hebben de nieuwe gemeentelijke voorwaarden ondertekend. Goed nieuws vanaf 1 februari kunnen alle Nederlandse gemeenten gebruik maken van de VNG overheidswerkplek. De overheidswerkplek bestaat uit nieuwe juridische gemeentelijke voorwaarden, een op maat gemaakte VNG-Microsoft overheidswerkplek en gunstige commerciële voorwaarden. Het doel van […]

Security & Privacy

  • Dynamics 365: AVG gecombineerd met slimme bedrijfsoplossingen

    Dynamics 365: AVG gecombineerd met slimme bedrijfsoplossingen

    De deadline van 25 mei 2018 komt snel dichterbij. De AVG is niet langer een vage notie, maar een wezenlijke verandering in de wetgeving met betrekking tot gegevensbescherming. Het is ook een gelegenheid om de waarde van jouw bedrijfsgegevens te benutten. Wie dat goed doet, geniet van een concurrentievoordeel. Lees verder om te weten te […]

Tips

  • 3 supersnelle OneNote-tips

    3 supersnelle OneNote-tips

    In deze blogpost geef ik je elke maand tips & tricks om Microsoft Office optimaal te gebruiken. Deze keer: OneNote 2016. Met deze slimme sneltoetsen en andere tips bespaar je nog meer tijd met de notitie-app. Verborgen tips in je aantekeningenboek Krabbels, hersenspinsels, takenlijsten en rekensommen: in OneNote 2016 zet je ze razendsnel op papier. […]

Webinars

  • een mensenzitting bij een lijst die een laptopcomputer met behulp van

    Beter digitaal onderwijs met Surface

    Digitale middelen en les op afstand zijn niet meer weg te denken uit het onderwijs. Maar welk apparaat werkt het best voor docenten, leerlingen, studenten én IT-beheer? Microsoft Surface helpt de verschillende rollen binnen het onderwijs vooruit,  door veiligheid te optimaliseren, het beheer tot een koud kunstje te maken en Surface Pen die de hersenen […]