24 juni 2019

Wanneer is een DPO aanstellen verplicht? En hoe doe je dat dan?

Sinds de GDPR is de regelgeving omtrent dataverwerking strenger dan ooit. Een Data Protection Officer of DPO aanstellen is voor heel wat bedrijven dan ook allang geen overbodige luxe meer. Voor sommige ondernemingen en organisaties is het zelfs wettelijk verplicht. Hoort jouw bedrijf eigenlijk een DPO in dienst te nemen? En hoe pak je dat dan het beste aan? Lees hier hoe de regelgeving in elkaar zit, wat een DPO precies doet en welke opleiding je kunt volgen om zelf een DPO te worden die van aanpakken weet.

Voor welke bedrijven is een DPO verplicht?

Klanten en burgers moeten voortaan expliciet toestemming geven als je hun persoonsgegevens wilt verwerken. Je moet bovendien allerhande maatregelen treffen om een correcte dataverwerking te garanderen en de data volgens de regels van de GDPR te bewaren. Ook verplicht de AVG (Algemene Verordening Gegevensbescherming) je om een DPO aan te stellen als je bedrijf of organisatie een of meerdere van de volgende functies vervult:

Neem als voorbeeld een ziekenhuis in Vlaanderen. De hoofdactiviteit is vanzelfsprekend kwalitatieve gezondheidszorg. Echter, kan een ziekenhuis onmogelijk veilige en efficiënte zorg bieden zonder verwerking van medische gegevens (medische dossiers van patiënten). Bijgevolg moet de verwerking van deze privacygegevens als één van de kerntaken van het ziekenhuis worden beschouwd en is men verplicht een Data Protection Officer aan te wijzen.

Twijfel je of een gecertificeerde functionaris voor gegevensbescherming nodig is in jouw bedrijf? Allanta helpt je graag verder.

Boetes en sancties

Bedrijven en organisaties die verzaken aan hun plicht om een DPO aan te stellen, riskeren een een administratieve geldboete opgelegd door de Gegevensbeschermingsautoriteit (de vroegere Privacycommissie). Ze riskeren ook een schorsing of definitieve stopzetting van hun verwerkingsactiviteiten. Het is dus van alle belang bewust om te gaan met privacy gegevens en een Data Protection Officer aan te stellen.

Positief imago

Niet verplicht om een DPO aan te werven? Ook dan loont het toch de moeite. Een DPO maakt zijn of haar collega’s niet alleen bewust van het belang van gegevensbescherming, maar motiveert hen ook om hun manier van werken aan te passen indien nodig. De aanwezigheid van een DPO geeft de buitenwereld bovendien een duidelijk signaal bij Maatschappelijk Verantwoord Ondernemen  dat jouw organisatie privacy en gegevensbescherming ernstig neemt, en dat komt je imago alleen maar ten goede.

Wat doet een Data Protection Officer exact?

Een DPO is iemand die erop toeziet dat persoonsgegevens op een correcte wijze worden verwerkt en bewaard, rekening houdend met de regels van de GDPR en AVG. Een DPO informeert en adviseert, en functioneert daarnaast als aanspreekpunt. Hij of zij neemt zelf geen uitvoerende beslissingen.

1 Informeren, adviseren en controleren

De DPO informeert de nodige mensen binnen het bedrijf zodanig dat ze over voldoende kennis beschikken om persoonsgegevens te verwerken. De DPO geeft ook juridisch en technisch advies bij het opzetten van een management systeem voor informatiebeveiliging (ISO 27001) om het bedrijf steeds conform de regelgeving te laten handelen. Aansluitend controleert de functionaris of alle wijzigingen volgens de wettelijke voorwaarden worden geïmplementeerd.

2 Aanspreekpunt

De DPO fungeert als aanspreekpunt voor de Gegevensbeschermingsautoriteit, personeelsleden en klanten over alles wat met gegevensbescherming te maken heeft.

3 Conform met normen

Daarnaast helpt de Data Protection Officer de conformiteit met de regelgeving mee vorm te geven en bijstaan met raad. Wat zeker een meerwaarde is bij de certificatie van ISO 9001:2015IATF 16949:2016 of FSSC 22000.

4 Onafhankelijke functie

Data Protection Officer zijn betekent dat je een onafhankelijke functie uitoefent. Je kunt je takenpakket met andere woorden niet combineren met een functie waarbij je beslissingen neemt over wat er met persoonsgegevens moet gebeuren. Zo kan een marketing director, personeelsdirecteur of CEO nooit als DPO worden aangesteld. Als DPO breng je rechtstreeks verslag uit aan het hoogste niveau van de directie.

Opleiding Data Protection Officer (DPO)

Voor opleidingen rond data protection wordt de kmo-portefeuille opgetrokken tot 45% voor kleinere ondernemingen en 35% voor middelgrote ondernemingen. Het maximale subsidiebedrag blijft € 7500 per jaar.

De GDPR-wetgeving is al even uitgebreid als ze streng is. Het is voor bedrijven en organisaties vaak een hele opgave om zich eraan te houden, maar gelukkig is er de DPO om alles volgens de letter van de wet in goede banen te leiden. Wil jij graag de DPO worden in jouw organisatie? Schrijf je snel in voor onze vijfdaagse opleiding Data Protection Officer* en behaal je certificaat.

Meer weten over GDPR-vereisten?

Ben je niet vertrouwd met de GDPR wetgeving? Leer de basiskennis, juridische begrippen, concepten en zoveel meer door de ogen van onze DPO-expert.

Leertrajecten opleidingen in Cybersecurity en data protection

*Deze opleiding wordt georganiseerd in samenwerking met het Data Protection Institute.

Meer blogs