Overslaan naar hoofdinhoud
Pulse

Heeft mijn organisatie een Data Protection Officer (DPO) nodig volgens de GDPR?

Hans van der Meer

Hans van der Meer

Manager Microsoft 365

Leestijd, 7 min.

Met welk doel sla je persoonlijke gegevens op binnen de organisatie? Welke risico’s zijn er verbonden aan het bewaren van deze data? Hoe staat het met de beveiliging en toegankelijkheid van deze gegevens? Hoe waarborg je de privacy van de klanten, de medewerkers en andere stakeholders binnen de organisatie? Zijn jouw medewerkers bewust over hoe zij om dienen te gaan met persoonlijke gegevens?

Bovenstaande vragen komen voort uit de herziene Algemene verordening gegevensbescherming (AVG) en leiden uiteindelijk bij iedere organisatie tot de volgende vraagstelling: Heeft mijn organisatie een Data Protection Officer (DPO) nodig? Het antwoord hierop is JA!

De GDPR / AVG

De herziene Algemene verordening gegevensbescherming (AVG), oftewel de General Data Protection Regulation (GDPR), is een Europa-brede wet die de Nederlandse Wet Bescherming Persoonsgegevens (WBP) per 25 mei 2018 vervangt.

Één van de doelstellingen van de AVG is om transparantie te creëren wie en wanneer er inzage heeft gehad in persoonsgegevens. Een betrokkene moet het recht hebben om de persoonsgegevens die over hem zijn verzameld, in te zien en om dat recht eenvoudig en met redelijke tussenpozen uit te oefenen, zodat hij zich van de verwerking op de hoogte kan stellen en de rechtmatigheid daarvan kan controleren. Dit is slechts één van de bepalingen uit de wet, waarbij het niet naleven kan leiden tot een boete van 20 miljoen euro of 4% van de wereldwijde jaaromzet.

De bewijslast ligt altijd bij de organisatie die deze data verzamelt. Om aan de eisen van deze wet te voldoen, kan een Data Protection Officer (DPO) worden aangesteld. In sommige gevallen moet zelfs een DPO of Functionaris gegevensbescherming worden aangesteld.

De risico’s

De sancties liegen er niet om. Als je niet voldoet aan de wet loop je naast financiële schade nog meer risico’s. Denk hierbij aan ernstige verstoring van de kernactiviteiten, rem op innovatie, imagoschade, afnemend vertrouwen in de organisatie, verlies van gegevens en verlies van intellectuele eigendommen.

In de praktijk krijgen wij vaak de vraag: “Onze ICT is uitbesteed aan een cloud dienstverlener, dan zijn wij toch al voorbereid op de wetgeving?” Dit is niet correct. Het uitbesteden van uw ICT omgeving aan een cloud dienstverlener, kan er indirect wel aan bijdragen doordat de cloud dienstverlener al een aantal technische maatregelen heeft genomen om het systeem te beveiligen. Dat neemt niet weg dat er binnen uw organisatie nog meer maatregelen genomen moeten worden. Bijvoorbeeld het aanleggen van een ‘register van verwerkingen’, waarbij inzicht wordt verkregen welke persoonsgegevens u verwerkt en met welke derde partijen gegevens worden gedeeld. Voor een mogelijk datalek moeten er procedures worden geïmplementeerd, inclusief het documenteren van alle maatregelen die zijn genomen.

Hierbij is belang dat deze maatregelen voldoen aan het principe van Privacy by Design. Dit betekent in de praktijk dat bijvoorbeeld bij het implementeren van IT security maatregelen de meest recente techniek wordt toegepast waarbij bescherming van privacy altijd als uit uitgangspunt wordt genomen.

Definitie van persoonlijke gegevens

Wat zijn nou eigenlijk persoonsgegevens volgens de wet? Het gaat hierbij om alle informatie waarmee een persoon geïdentificeerd kan worden. Dit betekent dat het verder gaat dan alleen NAW-gegevens, zoals een naam, adres of e-mailadres. Bijvoorbeeld het vinden, raadplegen en opslaan (volgens de wet: het verwerken) van informatie via een sociaal mediakanaal behoort ook tot deze informatie.

Wanneer is een DPO noodzakelijk

De wetgeving dwingt organisaties om na te denken over hoe zij omgaan met privacy en persoonlijke gegevens. Voor organisaties waarvan de kernactiviteit het verwerken persoonsgegevens is, overheidsdiensten en organisaties die bijzondere persoonsgegevens verwerken, zijn volgens de wetgeving verplicht om een DPO aan te stellen.


Meer weten over de rol en concrete invulling van DPO voor jouw organisatie? Schrijf je dan in voor het webinar ‘heeft mijn organisatie een DPO nodig? op dinsdag 19 september. Meld je nu aan.


Wat doet een DPO?

Een DPO adviseert je organisatie over deze wetgeving zodat er aan de verplichtingen wordt voldaan én de nodige maatregelen op de juiste wijze worden geïmplementeerd. Hierdoor zal zelfs concurrentievoordeel kunnen worden behaald. Het implementeren van de juiste technische en organisatorische maatregelen, geeft meer vertrouwen in de organisatie, waarborgt een veilige verwerking van persoonsgegevens én zorgt ervoor dat jouw organisatie minder risico loopt.

8 primaire taken

De DPO heeft binnen de organisatie 8 primaire taken:
1. Toezien op naleving van de wet omtrent privacy en data, zowel intern als extern;
2. Herkennen van privacy risico’s en proberen te voorkomen, niet alleen op technisch gebied, maar ook door processen op de juiste wijze in te richten en uit te voeren;
3. Overzicht houden op alle activiteiten rondom databeveiliging;
4. Waar nodig een DPIA (Data Protection Impact Assessment) uitvoeren;
5. Bijhouden van meldingen van gegevensverwerkingen;
6. Behandelen van vragen en klachten van personeelsleden, klanten, patiënten;
7. Bewustwording creëren bij betrokkenen en overige medewerkers;
8. Adviseren over technologie en beveiliging, waaronder voorlichting over Privacy en Security.

Eigen personeel als DPO

Binnen de kaders van de wetgeving is het toegestaan om eigen personeel in te zetten als DPO. Het is echter van belang dat deze medewerkers eerst een gedegen opleidingstraject volgen alvorens zij aan de slag kunnen als DPO.

Om voldoende kennis op te bouwen van de wet- en regelgeving en dit toe te passen binnen een bedrijf is ook ervaring nodig en een netwerk van specialisten op het gebied van privacy. De functie van een DPO is niet te combineren met andere werkzaamheden.

Enerzijds omdat privacy van persoonsgegevens en het wettelijk kader daaromtrent essentieel zijn en anderzijds omdat het geen goede waarborg biedt voor onafhankelijkheid.

DPO in loondienst

Zoals hierboven beschreven is het in de meeste gevallen niet raadzaam om bestaand personeel als DPO te laten acteren. Een andere mogelijkheid is dan om een DPO in loondienst aan te nemen.

Hier zijn echter de nodige regels aan verbonden. Zo moet een DPO voor tenminste twee jaar worden aangesteld, moet deze volledig onafhankelijk werkzaamheden kunnen verrichten en heeft de DPO dezelfde ontslagbescherming als leden van een ondernemingsraad.

Dit betekent dat hij pas ontslagen kan worden na toestemming van de kantonrechter. “Tijdens zijn ambtstermijn kan de functionaris voor gegevensbescherming alleen worden ontslagen wanneer hij niet langer voldoet aan de voorwaarden voor de uitvoering van zijn taken.”

Deze DPO is in veel gevallen 40 uur per week in dienst. Dit kan een onevenredige grote financiële belasting zijn voor uw organisatie.

DPO-as-a-Service

Het inzetten of omscholen van eigen personeel, maar ook het aannemen van een DPO in loondienst brengt de nodige zorgen met zich mee. In veel gevallen is een externe Data Protection Officer voor uw organisatie de meest optimale oplossing om de rol van DPO te vervullen. Het outsourcen van de functie van DPO kent onder andere de volgende voordelen:
• Het biedt een betere waarborg voor de onafhankelijkheid van de DPO. Deze wordt immers niet gehinderd door ‘interne politiek’ of andere zaken die binnen een organisatie spelen;
• Daarnaast hebben externe DPO’s meer ervaring met andere bedrijven en toegang tot een netwerk van andere Data Protection Officers waardoor meer relevante informatie en kennis beschikbaar is;
• Een externe DPO wordt continue opgeleid en bijgeschoold aan de hand van jurisprudentie, aanscherping van het wettelijke kader en certificeringsnormen die in de komende jaren van kracht worden;
• Met een externe DPO heeft u geen aanvullende opleidingskosten, salariskosten en overige overheadkosten;
• Een externe DPO wordt ingezet wanneer dit nodig is en is daardoor (in veel gevallen) niet 40 uur per week voor alleen úw organisatie werkzaam. Hierdoor kunt u kostenefficiënt compliant zijn aan de wetgeving.

Naast de bovengenoemde voordelen is het bedrijfseconomisch niet altijd haalbaar om zelf voldoende expertise op te bouwen en te onderhouden. Uw huidige medewerkers hebben genoeg taken te vervullen die horen bij de kernactiviteiten van uw organisatie en hebben geen focus en tijd om dit ‘erbij’ te doen.

De implementatie van de GDPR/AVG kan en mag niet worden onderschat! Het niet of te laat beginnen met de implementatie van maatregelen die nodig zijn om een organisatie compliant te laten acteren binnen de kaders van deze wet kan zeer verstrekkende gevolgen met zich meebrengen.

Meer weten over de rol en concrete invulling van DPO voor jouw organisatie? Schrijf je dan in voor het webinar ‘heeft mijn organisatie een DPO nodig? op dinsdag 19 september. Meld je nu aan.

Doe de AVG Quickscan

Download de gratis quickscan en beantwoord de vragen in het template.

Ontdek meer gerelateerde artikelen per branche:

Educatie

Financiële dienstverlening

  • 5 tips voor digitale financiële dienstverlening

    5 tips voor digitale financiële dienstverlening

    Van video-overleg en slim plannen tot online samenwerken en veilig werken: graag geven we je 5 tips om het meeste te halen uit de mogelijkheden die ICT biedt voor boekhouders. Digitalisering verandert de wereld, drastisch en in een hoog tempo. Dat heeft ook gevolgen voor het werk van boekhouders: vrijwel alle communicatie verloopt digitaal, databases […]

  • 216 Accountants: Een moderne organisatie met een moderne IT-infrastructuur

    216 Accountants: Een moderne organisatie met een moderne IT-infrastructuur

    Ondernemers ondersteunen in hun business-uitdagingen; dat is waar Microsoft graag een rol in speelt. De ambities en passies van ondernemers vormen de basis van verhalen die wij hier graag met jou delen. Hiermee willen wij jou inspireren en laten zien welke oplossingen ondernemers helpen de volgende stap te zetten om zo meer uit hun onderneming […]

Overheid

Productie

Retail

  • Retailers moeten AI inzetten, wij helpen je!

    Retailers moeten AI inzetten, wij helpen je!

    Succesvolle retailers hebben terugkerende klanten, groeiende marges en een accurate bevoorrading dankzij inzet van data. Wil jij dat ook? Breek dan bestaande datasilo’s af, bouw een data-gestuurd operating model en stop met hadnmatige data-analyse! Kunstmatige intelligentie (AI) geeft je nu grip op de resultaten van morgen. Met onze technologie, ons netwerk, training en een geïntegreerd […]

  • Foto van iemand die van achteren gezien wordt terwijl hij een Teams-vergadering bijwoont met 2 collega's waarbij een stof voor meubels wordt besproken.

    Zuiver: ondersteuning van de bedrijfsvoering en cultuur door middel van technologie

    “Sinds de verhuizing naar de cloud gelden er geen beperkingen meer. Zonder deze technologie hadden we de groei die we nu hebben zeker niet gezien.” Jaap Landsaat, CFO en Head of IT bij de Nederlandse meubelontwerper Zuiver, vertelt over de diepgaande impact die technologie heeft gehad op het bedrijf waarvan hij meer dan twintig jaar […]

Zorg

Ontdek meer gerelateerde artikelen per dossier:

Digitale transformatie

  • Vijf manieren om je bedrijf veilig te houden, zonder in te leveren op innovatie

    Vijf manieren om je bedrijf veilig te houden, zonder in te leveren op innovatie

    De toekomst is digitaal. Daar is geen misverstand over, om maar een voorbeeld te noemen zorgt het Internet of Things (IoT) wereldwijd naar verwachting voor een nieuwe economische waarde van zo’n $ 2,3 biljoen in het jaar 2025. Maar veel bedrijven vragen zich op hetzelfde moment af hoe zij de kloof tussen innovatie en security […]

Klantverhalen

Partners

  • Office 365 – Partner of Record

    Office 365 – Partner of Record

      In deze blog post leggen we uit hoe je als Microsoft Partner er voor kunt zorgen dat je in de Office 365 omgeving van je klant staat vermeld als Partner of Record en waarom dat handig is.   1) Log in op de Office 365 omgeving van de klant. 2) Klik links op het […]

Pers

  • CEO leading a meeting

    VNG en Microsoft werken samen aan ontwikkeling moderne veilige overheidswerkplek

    De gezamenlijke campagne tussen VNG en Microsoft is van start gegaan, beiden partijen hebben de nieuwe gemeentelijke voorwaarden ondertekend. Goed nieuws vanaf 1 februari kunnen alle Nederlandse gemeenten gebruik maken van de VNG overheidswerkplek. De overheidswerkplek bestaat uit nieuwe juridische gemeentelijke voorwaarden, een op maat gemaakte VNG-Microsoft overheidswerkplek en gunstige commerciële voorwaarden. Het doel van […]

Pers / Nieuws

  • CEO leading a meeting

    VNG en Microsoft werken samen aan ontwikkeling moderne veilige overheidswerkplek

    De gezamenlijke campagne tussen VNG en Microsoft is van start gegaan, beiden partijen hebben de nieuwe gemeentelijke voorwaarden ondertekend. Goed nieuws vanaf 1 februari kunnen alle Nederlandse gemeenten gebruik maken van de VNG overheidswerkplek. De overheidswerkplek bestaat uit nieuwe juridische gemeentelijke voorwaarden, een op maat gemaakte VNG-Microsoft overheidswerkplek en gunstige commerciële voorwaarden. Het doel van […]

Security & Privacy

Tips

Webinars

  • een mensenzitting bij een lijst die een laptopcomputer met behulp van

    Beter digitaal onderwijs met Surface

    Digitale middelen en les op afstand zijn niet meer weg te denken uit het onderwijs. Maar welk apparaat werkt het best voor docenten, leerlingen, studenten én IT-beheer? Microsoft Surface helpt de verschillende rollen binnen het onderwijs vooruit,  door veiligheid te optimaliseren, het beheer tot een koud kunstje te maken en Surface Pen die de hersenen […]