Sinds de GDPR is de regelgeving omtrent dataverwerking strenger dan ooit. Een Data Protection Officer of DPO aanstellen is voor heel wat bedrijven dan ook allang geen overbodige luxe meer. Voor sommige ondernemingen en organisaties is het zelfs wettelijk verplicht. Hoort jouw bedrijf eigenlijk een DPO in dienst te nemen? En hoe pak je dat dan het beste aan? Lees hier hoe de regelgeving in elkaar zit, wat een DPO precies doet en wat het verschil is met een Information Security Officer.
Klanten en burgers moeten voortaan expliciet toestemming geven als je hun persoonsgegevens wilt verwerken. Je moet bovendien allerhande maatregelen treffen om een correcte dataverwerking te garanderen en de data volgens de regels van de GDPR te bewaren. Ook verplicht de AVG (Algemene Verordening Gegevensbescherming) je om een DPO aan te stellen als je bedrijf of organisatie een of meerdere van de volgende functies vervult:
Neem als voorbeeld een ziekenhuis in Vlaanderen. De hoofdactiviteit is vanzelfsprekend kwalitatieve gezondheidszorg. Echter, kan een ziekenhuis onmogelijk veilige en efficiënte zorg bieden zonder verwerking van medische gegevens (medische dossiers van patiënten). Bijgevolg moet de verwerking van deze privacygegevens als één van de kerntaken van het ziekenhuis worden beschouwd en is men verplicht een Data Protection Officer aan te wijzen.
Bedrijven en organisaties die verzaken aan hun plicht om een DPO aan te stellen, riskeren een een administratieve geldboete opgelegd door de Gegevensbeschermingsautoriteit (de vroegere Privacycommissie). Ze riskeren ook een schorsing of definitieve stopzetting van hun verwerkingsactiviteiten. Het is dus van alle belang bewust om te gaan met privacy gegevens en een Data Protection Officer aan te stellen.
Niet verplicht om een DPO aan te werven? Ook dan loont het toch de moeite. Een DPO maakt zijn of haar collega’s niet alleen bewust van het belang van gegevensbescherming, maar motiveert hen ook om hun manier van werken aan te passen indien nodig. De aanwezigheid van een DPO geeft de buitenwereld bovendien een duidelijk signaal bij Maatschappelijk Verantwoord Ondernemen dat jouw organisatie privacy en gegevensbescherming ernstig neemt, en dat komt je imago alleen maar ten goede.
Een DPO is iemand die erop toeziet dat persoonsgegevens op een correcte wijze worden verwerkt en bewaard, rekening houdend met de regels van de GDPR en AVG. Een DPO informeert en adviseert, en functioneert daarnaast als aanspreekpunt. Hij of zij neemt zelf geen uitvoerende beslissingen.
De DPO informeert de nodige mensen binnen het bedrijf zodanig dat ze over voldoende kennis beschikken om persoonsgegevens te verwerken. De DPO geeft ook juridisch en technisch advies bij het opzetten van een management systeem voor informatiebeveiliging (ISO 27001) om het bedrijf steeds conform de regelgeving te laten handelen. Aansluitend controleert de functionaris of alle wijzigingen volgens de wettelijke voorwaarden worden geïmplementeerd.
De DPO fungeert als aanspreekpunt voor de Gegevensbeschermingsautoriteit, personeelsleden en klanten over alles wat met gegevensbescherming te maken heeft.
Daarnaast helpt de Data Protection Officer de conformiteit met de regelgeving mee vorm te geven en bijstaan met raad. Wat zeker een meerwaarde is bij de implementatie van een informatiebeveilingssyteem ISO 27001, of kwaliteitsysteem als ISO 9001:2015 of IATF 16949:2016.
Data Protection Officer zijn betekent dat je een onafhankelijke functie uitoefent. Je kunt je takenpakket met andere woorden niet combineren met een functie waarbij je beslissingen neemt over wat er met persoonsgegevens moet gebeuren. Zo kan een marketing director, personeelsdirecteur of CEO nooit als DPO worden aangesteld. Als DPO breng je rechtstreeks verslag uit aan het hoogste niveau van de directie.
Het belangrijkste verschil tussen een Information Security Officer – afgekort ISO – en een DPO is dat een ISO verantwoordelijk is voor de bredere informatiebeveiligingsaspecten van een organisatie, terwijl een DPO specifiek toezicht houdt op de naleving van gegevensbeschermingswetten en -normen. In sommige gevallen vervult een persoon beide rollen, vooral in kleinere organisaties. In grotere en complexere organisaties worden deze verantwoordelijkheden doorgaans door verschillende functionarissen uitgevoerd.
De Information Security Officer is dus verantwoordelijk voor het beveiligen van de informatie en informatiesystemen van een organisatie. Hun belangrijkste taken omvatten: