Data Protection Officer
In ons stappenplan richting GDPR hebben we het in stap 11 over de Data Protection Officer (DPO). Maar in tegenstelling tot wat je vaak leest of hoort, moet niet elk bedrijf een Data Protection Officer aanwerven. Hoe zit dat voor jouw bedrijf?

 

Welke bedrijven moeten verplicht een Data Protection Officer hebben?

Of je al dan niet een DPO moet aannemen heeft niks te maken met de omvang van je bedrijf. Wél met het feit of je binnen drie categorieën van bedrijven en organisaties valt.

  • Is jouw organisatie een overheidsinstantie of -orgaan (behalve het gerecht)?
  • Is jouw bedrijf of organisatie hoofdzakelijk belast met de verwerking van bijzondere categorieën van gegevens zoals ras, politieke voorkeur, religieuze overtuiging of strafrechtelijke feiten?
  • Is jouw bedrijf of organisatie hoofdzakelijk belast met gegevensverwerking die regelmatige en stelselmatige observatie van betrokkenen op grote schaal eisen?

Indien je op alle bovenstaande vragen “nee” antwoordde, is jouw bedrijf niet verplicht om een DPO te benoemen. Helaas blijven de omschrijvingen nog vrij vaag. Vandaar wat verduidelijking.

“Hoofdzakelijk” betekent dat dataverwerking tot de kernactiviteiten van de organisatie moet behoren. Het blijft voorlopig wel nog onduidelijk of met “kernactiviteiten” enkel winstgevende activiteiten bedoeld worden. In dat geval zouden bijvoorbeeld afdelingen zoals HR en IT niet onder de GDPR vallen, terwijl net deze afdelingen vaak wél op regelmatige en stelselmatige manier observatie vereisen.

“Op grote schaal” betekent dat het gaat om een aanzienlijke hoeveelheid aan persoonsgegevens op regionaal, nationaal of supranationaal niveau of een grote hoeveelheid betrokkenen”. Ook hier is dus interpretatie mogelijk. Daar zullen we allicht moeten wachten hoe de Belgische overheid, en meer bepaald staatssecretaris Philippe De Backer, deze interpretaties zal invullen.

Wat doet de Data Protection Officer?

Simpel gezegd controleert de DPO of alle klantengegevens correct worden bewaard, gebruikt en gedeeld. Hij of zij moet toezien dat de Europese en lokale regels inzake privacy en de privacy policy van het bedrijf worden nageleefd. Daarnaast is de DPO het contactpunt voor de autoriteiten. Als jouw bedrijf bijvoorbeeld te maken krijgt met een datalek, is de DPO de contactpersoon voor de veiligheidsdiensten en de privacycommissie. De DPO informeert en adviseert je bedrijf of organisatie ook omtrent de GDPR-verplichtingen en staat in voor het trainen van werknemers en het uitvoeren van eventuele audits. Tenslotte is het de DPO die antwoordt op alle vragen over de gegevensverwerking en de rechten van de betrokkenen van wie de gegevens verwerkt worden.

Wie kan Data Protection Officer worden?

In de GDPR wordt niet beschreven welke specificaties gelden voor een DPO. Er staat nergens welk diploma hij of zij moet hebben en er is ook geen certificaat voorzien. De GDPR stelt enkel dat “de DPO moet beschikken over deskundigheid op het gebied van wetgeving en de praktijk inzake gegevensbescherming”.  De Data Protection Officer hoeft ook niet per se een eigen werknemer te zijn. Ook experts van buiten jouw bedrijf komen in aanmerking. Er staat verder nergens dat DPO een full-time taak is: een bestaande werknemer kan/mag de rol van DPO op zich nemen, zolang zijn reguliere werk niet conflicteert met zijn taken als DPO.

Heeft jouw bedrijf een Data Protection Officer nodig? En weet je al wie het gaat worden? Laat het ons weten via de comments hieronder.

Deze blogpost maakt deel uit van een gratis eBook waarin alle aspecten van de GDPR aan bod komen.

Download ons gratis eBook over GDPR

Gerelateerde berichten
hoe voorkom je dat je gehackt wordt

Voorkomen is beter dan genezen: hoe voorkom je dat je gehackt wordt?

Breng alle cyberrisico’s op technisch en juridisch vlak in kaart en neem de passende technische en organisatorische maatregelen. Een overzicht.

Lees meer

communicatie bij een hack

Hoe moet je communiceren als je gehackt bent?

Hoe ga je als bedrijf, groot of klein, met veel of weinig gegevens, best om met de communicatie omtrent een hack en (eventueel) datalek?

Lees meer

welke juridische stappen na hack

Welke juridische maatregelen moet je nemen na een datalek?

In dit artikel willen we zo concreet mogelijk maken welke juridische stappen je moet ondernemen als je bedrijf geconfronteerd wordt met een datalek.

Lees meer