Management

Privacy
Dataprotectie

Wat doet een Data Protection Officer?

Het is een groot misverstand te denken dat een DPO procedures onderhoudt en risico's analyseert

6 juni 2018

In het licht van de AVG moeten bedrijven die op grote schaal structureel en periodiek persoonsgegevens verwerken, een Data Protection Officer hebben. Maar wat gaat die nieuwe functionaris doen?

Het heeft geen zin om een Data Protection Officer te benoemen en hem vervolgens met verkeerde taken te belasten.

Belangrijk blijft dat gegevensbescherming op de agenda van het management staat. De AVG maakt duidelijk dat de Data Protection Officer de opdracht heeft om te adviseren, te ondersteunen en te controleren. Hij is echter niet degene die bijvoorbeeld de interne organisatie opzet, de procedures onderhoudt of de risico’s analyseert. Dat is een wijdverbreid misverstand. Daarom is het ook zo belangrijk om duidelijkheid te scheppen over de interne organisatie, de taken en verantwoordelijkheden correct te beleggen en adequate procedures te formuleren.

Met andere woorden: gegevensbescherming moet in de bedrijfsvoering geborgd zijn. Dat is niet alleen belangrijk vanwege de wettelijke verplichting om functies te scheiden, maar heeft ook praktische redenen. De Data Protection Officer kan onmogelijk weten waar overal binnen de organisatie nieuwe databases met persoonsgegevens ontstaan. Hij kan onmogelijk de risico’s inschatten die het gebruik van die gegevens oplevert. Dat geldt in ieder geval voor grote, internationaal opererende bedrijven. Een duidelijke, heldere organisatiestructuur vergroot de slagkracht.

Ontleden

De nieuwe Data Protection Officer heeft een belangrijke taak om de nieuwe verordening te ontleden en op elk niveau gepaste maatregelen voor te stellen. Om in de organisatie de juiste condities voor naleving van de verordening te creëren, is bovendien training en opleiding noodzakelijk. Medewerkers hoeven de artikelen en paragrafen uit de AVG niet uit ‘t hoofd te leren. Ze moeten er echter wel van doordrongen zijn dat zij een brengplicht hebben en dat de Data Protection Officer niet zelf binnen de organisatie op zoek moet gaan naar de vereiste informatie.

Wie wil starten met het verzamelen van persoonsgegevens – bijvoorbeeld op de HR-afdeling of binnen verkoop en marketing – moet eerst vragen naar het doel en de omvang ervan. Hij moet zelf in een vroegtijdig stadium contact met de Data Protection Officer zoeken en om ondersteuning vragen. Hij kan dan helpen om de juiste maatregelen te nemen. In sommige gevallen kan de uitkomst ook zijn dat het verzamelen van persoonsgegevens wordt afgeraden. Bijvoorbeeld omdat veel onnodige gegevens worden verzameld of omdat ze conflicteren met andere verplichtingen.

Recht

Daarnaast moeten natuurlijk de consequenties van de nieuwe verordening voor het bedrijf geanalyseerd worden. Een adequaat projectmanagement met planning en met inachtneming van de prioriteiten en betrokken personen is raadzaam. Zaak is om het project op te pakken, de nieuwe verordening serieus te nemen en het positieve aspect van de gegevensbescherming te omarmen. Het gaat om de bescherming van burgers en het recht om over je eigen data te beschikken.

Drie misverstanden

1. De Data Protection Officer is overal voor verantwoordelijk

Hier geldt het principe van functiescheiding. Artikel 39 van de GDPR omschrijft in heldere bewoordingen de taken van de Data Protection Officer:

•        Informeren en adviseren van de directie.

•        Controleren (op de naleving van de AVG).

•        Adviseren op aanvraag.

•        Samenwerken met de autoriteiten.

Veel zaken die in de praktijk als haalplicht van de Data Protection Officer worden beschouwd, worden in de wetgeving juist als brengplicht aangemerkt. Het topmanagement of de betrokken afdelingen moeten daarvoor zorgen. Zij dienen verantwoord met persoongsgegevens om te gaan.

2 Gegevensbescherming is alleen maar lastig

Het kan kloppen dat gegevensbescherming niet nadrukkelijk bijdraagt aan de funfactor binnen het bedrijf. Maar de AVG beschermt personen. Het gaat om medewerkers, handelspartners, prospects, websitebezoekers en – niet in de laatste plaats – uzelf. Wie gegevensbescherming serieus neemt en goed voorbereid is, zal merken dat naleving van de nieuwe wetgeving juist een concurrentievoordeel is.

3 Ik moet de allernieuwste technologie inzetten

Dat is niet per definitie het geval. De AVG noemt in Artikel 32 het begrip ‘stand der techniek’. Dat is volgens algemene opvattingen een milde omschrijving, die niet alleen duidt op moderne maar ook op bewezen oplossingen. De ‘stand der techniek’ is een criterium dat naast andere criteria, zoals implementatiekosten en risico-analyse, geldt.

Reactie toevoegen