data protection officer,dpo,gdpr,privacywet

DPO aanstellen ook nodig voor jouw bedrijf

Hoe en wat is het aanstellen van een DPO? Met de nieuwe regels van de GDPR wordt het voor een groot aantal bedrijven verplicht om een interne toezichthouder voor de verwerking van persoonsgegevens aan te stellen. Deze toezichthouder heet een Data Protection Officer en moet toezicht houden op de toepassing en de naleving van de privacywet. Ik schreef in een eerdere blog over de komst van de GDPR. In de huidige Wet bescherming persoonsgegevens (Wbp) kon je er voor kiezen om al een DPO aan te stellen. Met de regels van de GDPR is deze functie verder uitgebreid en kent het meer verplichtingen.

Wanneer moet je een DPO aanstellen?

Niet elke organisatie hoeft een Data Protection Officer aan te stellen. Echter zal het er in de praktijk op neer komen dat een groot aantal dit wel moet doen. Organisaties die aan de volgende criteria voldoen zijn verplicht:

  • Organisaties die op grote schaal persoonsgegevens verwerken;
  • Overheidsinstanties en publieke organisaties: daaronder vallen ook scholen en zorginstellingen.

Wat de deze functionaris precies moet doen, lees je op de website van de Autoriteit Persoonsgegevens.

Voorwaarden voor de DPO

Een Data Protection Officer moet aan de nodige eisen voldoen. Zo moet hij volgens de GDPR voldoende deskundig zijn en over voldoende professionele kwaliteiten beschikken om de hiervoor genoemde taken te kunnen uitvoeren. De Data Protection Officer moet in het bijzonder deskundig zijn op het gebied van gegevensbescherming zowel qua wetgeving als de praktijk. In praktijk betekent dit dat GDPR:

  • Ervaring moeten hebben met nationale en Europese privacywetgeving en gebruiken, inclusief uitgebreide kennis van de GDPR.
  • Verstand moeten hebben van de gegevensverwerkingen die de organisatie uitvoert.
  • Verstand moeten hebben van IT en beveiliging van gegevens.
  • Kennis moeten hebben van de desbetreffende sector en organisatie.
  • In staat moeten zijn om binnen de organisatie beveiliging van data te promoten.
  • Betrouwbaar moeten zijn (zij zijn verplicht tot geheimhouding).

Wie kan DPO worden?

data protection officer,dpo,gdpr,privacywet

In principe kan ieder personeelslid worden benoemd als hij voldoet aan de eisen. Echter mag hij geen conflicterende belangen hebben binnen de organisatie. Denk hierbij aan een CEO, CFO of andere aansturende functie. Maar ook werknemers die zelf inhoudelijk betrokken zijn bij het verwerken van gegevens kunnen conflicterende belangen hebben en mogen deze rol niet vervullen.

Een DPO hoeft overigens helemaal niet vanuit de interne organisatie te komen. Op basis van een dienstverleningsovereenkomst kan je ook samenwerken met een extern persoon of organisatie. Hierbij moet deze uiteraard wel voldoen aan de hierboven genoemde eisen.

Als je een Data Protection Officer hebt aangewezen dan moet je deze bekendmaken binnen en buiten je bedrijf. Dit dus ook naar de personen van wie jij persoonsgegevens verwerkt door de Data Protection Officer te vermelden in jouw privacyverklaring. Uiteraard moet de DPO ook worden doorgegeven aan de Autoriteit Persoonsgegevens.

Wat is de positie van de DPO binnen mijn bedrijf?

De DPO zal niet persoonlijk worden aangesproken op het moment dat de organisatie niet compliant blijkt te zijn. Uit de GDPR blijkt dat het bedrijf zelf degene is die moet kunnen aantonen dat de gegevensverwerking voldoet aan de eisen.

De DPO moet zijn taken onafhankelijk kunnen uitvoeren. Dat betekent dat de DPO geen instructie mag krijgen van het bedrijf met betrekking tot de uitvoering van zijn en je mag de DPO niet ontslaan of straffen voor de uitvoering van de taken (vergelijkbaar met een lid van de ondernemingsraad). Daarnaast doet de DPO rechtstreeks verslag aan de hoogste leidinggevende van je bedrijf.

Je bedrijf zal de DPO ook in staat moeten stellen om zijn taken goed uit te voeren.

Een DPO moet door je bedrijf tijdig worden betrokken bij alles dat te maken heeft met de bescherming van persoonsgegevens (denk aan: het betrekken van de Data Protection Officer in een zo vroeg mogelijk stadium van de gegevensverwerking, betrekken van de Data Protection Officer als sparringpartner bij discussies over gegevensverwerkingen, ook op managementniveau, en direct betrekken van de Data Protection Officer bij datalekken).

Hoe stel je een DPO aan?

Zodra je bedrijf iemand als Data Protection Officer hebt aangewezen, moet je zijn of haar contactgegevens bekend maken zowel binnen je bedrijf als buiten de organisatie richting degenen wiens persoonsgegevens je verwerkt. Dat doe je onder meer door deze in je privacy-statement op te nemen.

Daarnaast moeten de up-to-date contactgegevens van de DPO worden doorgegeven aan de Autoriteit Persoonsgegevens (AP). Dat kan via een speciaal aanmeldformulier. Overigens is het ook mogelijk om meerdere DPO’s aan te wijzen. Iedere DPO moet aangemeld zijn bij de AP.

Delen mag 🙂

Lees ook