Data Protection Officer
In ons stappenplan richting GDPR hebben we het in stap 11 over de Data Protection Officer (DPO). Maar in tegenstelling tot wat je vaak leest of hoort, moet niet elk bedrijf een Data Protection Officer aanwerven. Hoe zit dat voor jouw bedrijf?

 

Welke bedrijven moeten verplicht een Data Protection Officer hebben?

Of je al dan niet een DPO moet aannemen heeft niks te maken met de omvang van je bedrijf. Wél met het feit of je binnen drie categorieën van bedrijven en organisaties valt.

  • Is jouw organisatie een overheidsinstantie of -orgaan (behalve het gerecht)?
  • Is jouw bedrijf of organisatie hoofdzakelijk belast met de verwerking van bijzondere categorieën van gegevens zoals ras, politieke voorkeur, religieuze overtuiging of strafrechtelijke feiten?
  • Is jouw bedrijf of organisatie hoofdzakelijk belast met gegevensverwerking die regelmatige en stelselmatige observatie van betrokkenen op grote schaal eisen?

Indien je op alle bovenstaande vragen “nee” antwoordde, is jouw bedrijf niet verplicht om een DPO te benoemen. Helaas blijven de omschrijvingen nog vrij vaag. Vandaar wat verduidelijking.

“Hoofdzakelijk” betekent dat dataverwerking tot de kernactiviteiten van de organisatie moet behoren. Het blijft voorlopig wel nog onduidelijk of met “kernactiviteiten” enkel winstgevende activiteiten bedoeld worden. In dat geval zouden bijvoorbeeld afdelingen zoals HR en IT niet onder de GDPR vallen, terwijl net deze afdelingen vaak wél op regelmatige en stelselmatige manier observatie vereisen.

“Op grote schaal” betekent dat het gaat om een aanzienlijke hoeveelheid aan persoonsgegevens op regionaal, nationaal of supranationaal niveau of een grote hoeveelheid betrokkenen”. Ook hier is dus interpretatie mogelijk. Daar zullen we allicht moeten wachten hoe de Belgische overheid, en meer bepaald staatssecretaris Philippe De Backer, deze interpretaties zal invullen.

Wat doet de Data Protection Officer?

Simpel gezegd controleert de DPO of alle klantengegevens correct worden bewaard, gebruikt en gedeeld. Hij of zij moet toezien dat de Europese en lokale regels inzake privacy en de privacy policy van het bedrijf worden nageleefd. Daarnaast is de DPO het contactpunt voor de autoriteiten. Als jouw bedrijf bijvoorbeeld te maken krijgt met een datalek, is de DPO de contactpersoon voor de veiligheidsdiensten en de privacycommissie. De DPO informeert en adviseert je bedrijf of organisatie ook omtrent de GDPR-verplichtingen en staat in voor het trainen van werknemers en het uitvoeren van eventuele audits. Tenslotte is het de DPO die antwoordt op alle vragen over de gegevensverwerking en de rechten van de betrokkenen van wie de gegevens verwerkt worden.

Wie kan Data Protection Officer worden?

In de GDPR wordt niet beschreven welke specificaties gelden voor een DPO. Er staat nergens welk diploma hij of zij moet hebben en er is ook geen certificaat voorzien. De GDPR stelt enkel dat “de DPO moet beschikken over deskundigheid op het gebied van wetgeving en de praktijk inzake gegevensbescherming”.  De Data Protection Officer hoeft ook niet per se een eigen werknemer te zijn. Ook experts van buiten jouw bedrijf komen in aanmerking. Er staat verder nergens dat DPO een full-time taak is: een bestaande werknemer kan/mag de rol van DPO op zich nemen, zolang zijn reguliere werk niet conflicteert met zijn taken als DPO.

Heeft jouw bedrijf een Data Protection Officer nodig? En weet je al wie het gaat worden? Laat het ons weten via de comments hieronder.

Deze blogpost maakt deel uit van een gratis eBook waarin alle aspecten van de GDPR aan bod komen.

Download ons gratis eBook over GDPR

Gerelateerde berichten
Netneutraliteit

Waarom onze overheid netneutraliteit moet garanderen

Een recent artikel van freelance journalist Jan Jacobs over netneutraliteit op Doorbraak.be deed ons steigeren. Zo erg zelfs dat we ons bijna afvragen op hij betaald werd door Proximus of Telenet om zo’n stuk neer te poten.

Lees meer

Meet the Hackers

Meet the hackers: drie visies op IT security

Better safe than sorry. Dat was de boodschap achter Meet the hackers, onze workshop rond ethical hacking. In het gezellig kader van de schuur […]

Lees meer

GDPR voor developers

GDPR voor developers: praktische tips

Er bestaat al gigantisch veel informatie over GDPR. Informatie voor CEO’s, CIO’s, marketing managers… maar GDPR voor developers? Amper. Daar willen we met deze blogpost verandering in brengen. Wat moet je als developer weten over GDPR? En welke praktische tips kunnen we je geven?

Lees meer