Overslaan naar hoofdinhoud
Pulse

Heeft mijn organisatie een Data Protection Officer (DPO) nodig volgens de GDPR?

Hans van der Meer

Hans van der Meer

Manager Microsoft 365

Leestijd, 7 min.

Met welk doel sla je persoonlijke gegevens op binnen de organisatie? Welke risico’s zijn er verbonden aan het bewaren van deze data? Hoe staat het met de beveiliging en toegankelijkheid van deze gegevens? Hoe waarborg je de privacy van de klanten, de medewerkers en andere stakeholders binnen de organisatie? Zijn jouw medewerkers bewust over hoe zij om dienen te gaan met persoonlijke gegevens?

Bovenstaande vragen komen voort uit de herziene Algemene verordening gegevensbescherming (AVG) en leiden uiteindelijk bij iedere organisatie tot de volgende vraagstelling: Heeft mijn organisatie een Data Protection Officer (DPO) nodig? Het antwoord hierop is JA!

De GDPR / AVG

De herziene Algemene verordening gegevensbescherming (AVG), oftewel de General Data Protection Regulation (GDPR), is een Europa-brede wet die de Nederlandse Wet Bescherming Persoonsgegevens (WBP) per 25 mei 2018 vervangt.

Één van de doelstellingen van de AVG is om transparantie te creëren wie en wanneer er inzage heeft gehad in persoonsgegevens. Een betrokkene moet het recht hebben om de persoonsgegevens die over hem zijn verzameld, in te zien en om dat recht eenvoudig en met redelijke tussenpozen uit te oefenen, zodat hij zich van de verwerking op de hoogte kan stellen en de rechtmatigheid daarvan kan controleren. Dit is slechts één van de bepalingen uit de wet, waarbij het niet naleven kan leiden tot een boete van 20 miljoen euro of 4% van de wereldwijde jaaromzet.

De bewijslast ligt altijd bij de organisatie die deze data verzamelt. Om aan de eisen van deze wet te voldoen, kan een Data Protection Officer (DPO) worden aangesteld. In sommige gevallen moet zelfs een DPO of Functionaris gegevensbescherming worden aangesteld.

De risico’s

De sancties liegen er niet om. Als je niet voldoet aan de wet loop je naast financiële schade nog meer risico’s. Denk hierbij aan ernstige verstoring van de kernactiviteiten, rem op innovatie, imagoschade, afnemend vertrouwen in de organisatie, verlies van gegevens en verlies van intellectuele eigendommen.

In de praktijk krijgen wij vaak de vraag: “Onze ICT is uitbesteed aan een cloud dienstverlener, dan zijn wij toch al voorbereid op de wetgeving?” Dit is niet correct. Het uitbesteden van uw ICT omgeving aan een cloud dienstverlener, kan er indirect wel aan bijdragen doordat de cloud dienstverlener al een aantal technische maatregelen heeft genomen om het systeem te beveiligen. Dat neemt niet weg dat er binnen uw organisatie nog meer maatregelen genomen moeten worden. Bijvoorbeeld het aanleggen van een ‘register van verwerkingen’, waarbij inzicht wordt verkregen welke persoonsgegevens u verwerkt en met welke derde partijen gegevens worden gedeeld. Voor een mogelijk datalek moeten er procedures worden geïmplementeerd, inclusief het documenteren van alle maatregelen die zijn genomen.

Hierbij is belang dat deze maatregelen voldoen aan het principe van Privacy by Design. Dit betekent in de praktijk dat bijvoorbeeld bij het implementeren van IT security maatregelen de meest recente techniek wordt toegepast waarbij bescherming van privacy altijd als uit uitgangspunt wordt genomen.

Definitie van persoonlijke gegevens

Wat zijn nou eigenlijk persoonsgegevens volgens de wet? Het gaat hierbij om alle informatie waarmee een persoon geïdentificeerd kan worden. Dit betekent dat het verder gaat dan alleen NAW-gegevens, zoals een naam, adres of e-mailadres. Bijvoorbeeld het vinden, raadplegen en opslaan (volgens de wet: het verwerken) van informatie via een sociaal mediakanaal behoort ook tot deze informatie.

Wanneer is een DPO noodzakelijk

De wetgeving dwingt organisaties om na te denken over hoe zij omgaan met privacy en persoonlijke gegevens. Voor organisaties waarvan de kernactiviteit het verwerken persoonsgegevens is, overheidsdiensten en organisaties die bijzondere persoonsgegevens verwerken, zijn volgens de wetgeving verplicht om een DPO aan te stellen.


Meer weten over de rol en concrete invulling van DPO voor jouw organisatie? Schrijf je dan in voor het webinar ‘heeft mijn organisatie een DPO nodig? op dinsdag 19 september. Meld je nu aan.


Wat doet een DPO?

Een DPO adviseert je organisatie over deze wetgeving zodat er aan de verplichtingen wordt voldaan én de nodige maatregelen op de juiste wijze worden geïmplementeerd. Hierdoor zal zelfs concurrentievoordeel kunnen worden behaald. Het implementeren van de juiste technische en organisatorische maatregelen, geeft meer vertrouwen in de organisatie, waarborgt een veilige verwerking van persoonsgegevens én zorgt ervoor dat jouw organisatie minder risico loopt.

8 primaire taken

De DPO heeft binnen de organisatie 8 primaire taken:
1. Toezien op naleving van de wet omtrent privacy en data, zowel intern als extern;
2. Herkennen van privacy risico’s en proberen te voorkomen, niet alleen op technisch gebied, maar ook door processen op de juiste wijze in te richten en uit te voeren;
3. Overzicht houden op alle activiteiten rondom databeveiliging;
4. Waar nodig een DPIA (Data Protection Impact Assessment) uitvoeren;
5. Bijhouden van meldingen van gegevensverwerkingen;
6. Behandelen van vragen en klachten van personeelsleden, klanten, patiënten;
7. Bewustwording creëren bij betrokkenen en overige medewerkers;
8. Adviseren over technologie en beveiliging, waaronder voorlichting over Privacy en Security.

Eigen personeel als DPO

Binnen de kaders van de wetgeving is het toegestaan om eigen personeel in te zetten als DPO. Het is echter van belang dat deze medewerkers eerst een gedegen opleidingstraject volgen alvorens zij aan de slag kunnen als DPO.

Om voldoende kennis op te bouwen van de wet- en regelgeving en dit toe te passen binnen een bedrijf is ook ervaring nodig en een netwerk van specialisten op het gebied van privacy. De functie van een DPO is niet te combineren met andere werkzaamheden.

Enerzijds omdat privacy van persoonsgegevens en het wettelijk kader daaromtrent essentieel zijn en anderzijds omdat het geen goede waarborg biedt voor onafhankelijkheid.

DPO in loondienst

Zoals hierboven beschreven is het in de meeste gevallen niet raadzaam om bestaand personeel als DPO te laten acteren. Een andere mogelijkheid is dan om een DPO in loondienst aan te nemen.

Hier zijn echter de nodige regels aan verbonden. Zo moet een DPO voor tenminste twee jaar worden aangesteld, moet deze volledig onafhankelijk werkzaamheden kunnen verrichten en heeft de DPO dezelfde ontslagbescherming als leden van een ondernemingsraad.

Dit betekent dat hij pas ontslagen kan worden na toestemming van de kantonrechter. “Tijdens zijn ambtstermijn kan de functionaris voor gegevensbescherming alleen worden ontslagen wanneer hij niet langer voldoet aan de voorwaarden voor de uitvoering van zijn taken.”

Deze DPO is in veel gevallen 40 uur per week in dienst. Dit kan een onevenredige grote financiële belasting zijn voor uw organisatie.

DPO-as-a-Service

Het inzetten of omscholen van eigen personeel, maar ook het aannemen van een DPO in loondienst brengt de nodige zorgen met zich mee. In veel gevallen is een externe Data Protection Officer voor uw organisatie de meest optimale oplossing om de rol van DPO te vervullen. Het outsourcen van de functie van DPO kent onder andere de volgende voordelen:
• Het biedt een betere waarborg voor de onafhankelijkheid van de DPO. Deze wordt immers niet gehinderd door ‘interne politiek’ of andere zaken die binnen een organisatie spelen;
• Daarnaast hebben externe DPO’s meer ervaring met andere bedrijven en toegang tot een netwerk van andere Data Protection Officers waardoor meer relevante informatie en kennis beschikbaar is;
• Een externe DPO wordt continue opgeleid en bijgeschoold aan de hand van jurisprudentie, aanscherping van het wettelijke kader en certificeringsnormen die in de komende jaren van kracht worden;
• Met een externe DPO heeft u geen aanvullende opleidingskosten, salariskosten en overige overheadkosten;
• Een externe DPO wordt ingezet wanneer dit nodig is en is daardoor (in veel gevallen) niet 40 uur per week voor alleen úw organisatie werkzaam. Hierdoor kunt u kostenefficiënt compliant zijn aan de wetgeving.

Naast de bovengenoemde voordelen is het bedrijfseconomisch niet altijd haalbaar om zelf voldoende expertise op te bouwen en te onderhouden. Uw huidige medewerkers hebben genoeg taken te vervullen die horen bij de kernactiviteiten van uw organisatie en hebben geen focus en tijd om dit ‘erbij’ te doen.

De implementatie van de GDPR/AVG kan en mag niet worden onderschat! Het niet of te laat beginnen met de implementatie van maatregelen die nodig zijn om een organisatie compliant te laten acteren binnen de kaders van deze wet kan zeer verstrekkende gevolgen met zich meebrengen.

Meer weten over de rol en concrete invulling van DPO voor jouw organisatie? Schrijf je dan in voor het webinar ‘heeft mijn organisatie een DPO nodig? op dinsdag 19 september. Meld je nu aan.

Doe de AVG Quickscan

Download de gratis quickscan en beantwoord de vragen in het template.

Educatie

Financiële dienstverlening

  • Tips van financiële koplopers over de cloud

    Tips van financiële koplopers over de cloud

    Steeds meer boekhouders en administratiekantoren gaan over naar de cloud om hun werk te doen. 216 Accountants deelt in deze blog een aantal inzichten en tips. Zo kun je een zo groot mogelijk succes maken van de overstap naar de cloud – voor jou én je klanten. E-mails, gezamenlijke spreadsheets, vergaderingen, agenda’s, todo-lijsten, aantekeningen, scans: […]

  • Een man loopt op de voorgrond door een groot gebouw

    Werkt jouw device voor jou, of andersom?

    Het draaien van een financiële rapportage, het inzien van klantdata of het identificeren van een investeringskans is onderdeel van jouw dagelijks werk. En hoewel je hier technologie voor nodig hebt, moet dit vooral ondersteunend zijn. Niets is zo frustrerend als minuten wachten op je desk- of laptop die de zwaarte van jouw financiële pakket niet […]

Overheid

  • een vrouw die aan een tafel zit

    Meer privacytransparantie voor onze commerciële cloudklanten

    Bij Microsoft luisteren we naar onze klanten en streven we ernaar hun vragen en feedback zo goed als mogelijk te beantwoorden. Een van onze basisprincipes is immers om onze klanten te helpen succesvol te zijn. Vandaag kondigt Microsoft een update aan van de privacybepalingen in de Microsoft Voorwaarden voor Online Diensten (VOD) in onze commerciële […]

  • Ineco

    Ineco verbetert productiviteit van werknemers met moderne tools en AI

    Software dat niet meewerkt helpt mensen niet om meer gedaan te krijgen. En als het moeilijk is om bestanden te delen en samen te werken aan documenten, gaat dat ten koste van de productiviteit. Ineco, een Spaans bedrijf in de publieke sector, had dit in de gaten en probeert daarom medewerkers op een andere manier […]

Productie

Retail

Zorg