Wanneer is een Data Protection Officer nodig?

January 17, 2018

Met de komst van de General Data Protection Regulation (GDPR), ook wel Algemene Verordening Gegevensbescherming (AVG) genoemd, ontstaat voor een aantal organisaties de verplichting om een Data Protection Officer (DPO) aan te stellen, ook wel Functionaris Gegevensbescherming genoemd.

Wanneer stel je een DPO aan, en wat zijn de eisen aan een DPO?

 

 

Wat is een Data Protection Officer?
Een DPO ziet toe op naleving van de privacywet, en is voor een organisatie het centrale aanspreekpunt met betrekking tot alles wat te maken heeft met privacy en gegevensbescherming. De DPO herkent de privacy risico’s binnen een organisatie en is in staat deze te voorkomen. Hij/zij heeft overzicht over alle activiteiten die met gegevensverwerking en gegevensbeveiliging te maken hebben, creëert awareness en zorgt voor een cultuur waarin er aandacht is voor security en privacy issues.

 

 

Wanneer stel je een DPO aan?
Je dient een Data Protection Officer aan te stellen als:
 

  • Je organisatie een overheidsinstantie of overheidsorgaan is (met uitzondering van rechtbanken bij het uitvoeren van hun rechtsprekende taak);
     

  • Je organisatie op grote schaal mensen volgt (bijvoorbeeld bij profilering) en dit een kernactiviteit van de organisatie is;
     

  • Je organisatie op grote schaal bijzondere persoonsgegevens verwerkt en dit een kernactiviteit van de organisatie is. Bijzondere persoonsgegevens zijn persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid, of gegevens over strafrechtelijke veroordelingen en strafbare feiten.
     

Organisaties kunnen ook op vrijwillige basis een DPO aanstellen. De DPO is ‘a cornerstone of accountability’ en het aanwijzen daarvan kan compliance bevorderen en kan bovendien een concurrentievoordeel opleveren voor uw organisatie. Of een DPO verplicht of vrijwillig is aangesteld, is niet relevant voor de positie en taken van de DPO. 


 

Waaraan dient een DPO te voldoen?
Een DPO wordt aangewezen op grond van zijn professionele capaciteiten en zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming. Dat betekent dat de DPO een brede scope dient te hebben, waarbij naast wetgeving ook facetten als IT, HR en Finance meegenomen dienen te worden. Aangezien de GDPR van invloed kan zijn op uw marketing- en salesactiviteiten is het voor uw organisatie daarnaast van belang dat de DPO ook commercieel inzicht heeft. Daarmee is hij in staat de commerciële processen in uw organisatie optimaal aan te laten sluiten bij vereisten van de wetgeving, en creëert u meerwaarde voor uw organisatie.  

 

 

Moet de DPO een eigen medewerker zijn?
DE DPO kan een personeelslid zijn van uw organisatie, of kan de taken op grond van een dienstverleningsovereenkomst uitvoeren. In een aantal gevallen kan het wenselijk zijn om de DPO extern in te huren:

  • Een externe DPO is onafhankelijk, gebonden aan een contract maar niet onderworpen aan een feitelijke of impliciete hiërarchie. Hiermee voorkomt u mogelijk een ‘conflict of interest’ tussen de DPO-dienst en andere zakelijke activiteiten. 

  • Een externe DPO is beschikbaar op afroep, en benodigde capaciteit is schaalbaar. Aangezien organisaties doorgaans meer capaciteit nodig hebben aan het begin van een compliance project kan een flexibele aanpak worden gevolgd, waarbij de initiële on-site service daarna wordt gecombineerd met ondersteuning op afstand.

  • Een externe DPO brengt ‘best practices’ mee, en staat voortdurend in contact met collega-DPO’s.

  • Inhuur van een DPO zorgt er voor dat uw medewerkers zich kunnen richten op hun core business.
     

Wilt u meer weten over het inhuren van een DPO of FG, of twijfelt u over de noodzaak? We informeren u graag.

Neem gerust contact met ons op!
 

Please reload

Recent Posts

Please reload

Archive

Please reload

Tags

Please reload

©2017 by GDPR Coach