Heeft u in uw onderneming een DPO nodig?

Een DPO of Data Protection Officer kijkt toe of uw bedrijfsdata correct worden aangewend volgens de regels van de GDPR. A priori heeft deze nieuwe functie reden van bestaan in alle organisaties. Maar, de beslissing om hiervoor echt een aparte functie te creëren, hangt af van een aantal factoren. Welke deze factoren zijn en wat nu concreet de meerwaarde is van een DPO lichten wij verder toe.

beeld_artikel-dpo

Wat zijn de kerntaken van een DPO?

Een Data Protection Officer heeft een divers takenpakket. In eerste instantie zal de DPO u informeren en adviseren omtrent de verplichtingen als verwerkingsverantwoordelijke of verwerker. Daarnaast ziet hij ook toe op de naleving van de wettelijke verplichtingen en volgt hij de nieuwe ontwikkelingen inzake gegevensbescherming op de voet.

Verder zal de DPO uw contactpunt zijn voor de toezichthoudende autoriteit. Hij zal met de toezichthoudende autoriteit samenwerken indien er een klacht of controle zou ontstaan. Ook in het kader van de opmaak van register van verwerkingsactiviteiten, het uitvoeren van een gegevensbeschermingseffectbeoordeling, implementeren van nieuwe procedures, … zal de DPO u bijstaan.

Wat is het ideale profiel?

De DPO-rol bevindt zich op het kruispunt van verschillende competentiedomeinen (waaronder IT, wetgeving, kwaliteit, HR en financiën) en de functie kan zowel door een interne als door een externe persoon uitgeoefend worden. Indien u een interne persoon als DPO aanstelt, mag er geen belangenconflict ontstaan. Zo zal de zaakvoerder niet de rol van Data Protection Officer op zich mogen nemen.

Naast technische kennis en ervaring in audit- en projectbeheer, moet de Data Protection Officer ook over essentiële interpersoonlijke kwaliteiten beschikken. Omdat gegevensbescherming in de eerste plaats om verandering in mentaliteit en gewoontes gaat,  is een draagvlak nodig. Hij of zij zal dus ook moeten beschikken over empathie, communicatievaardigheden, samenwerkingsvermogen, ethiek en integriteit.

Is een DPO wettelijk verplicht?

Het aanstellen van een Data Protection Officer is niet steeds een keuze. Volgens de GDPR is de aanstelling van een (DPO) in drie specifieke gevallen verplicht, bijvoorbeeld als u:

  • een overheidsinstantie of – orgaan bent.
  • op grote schaal bijzondere categorieën persoonsgegevens of strafrechtelijke gegevens verwerkt en dit tot uw hoofdactiviteit behoort.
  • op grote schaal regelmatig en stelselmatig observaties van betrokkene verricht en dit tot uw hoofdactiviteit behoort.

Wat is “de hoofdactiviteit”?

Als het verwerken van persoonsgegevens noodzakelijk is voor de doelstellingen van uw onderneming. Voorbeeld: een ziekenhuis heeft als hoofdactiviteit zorgverlening. Het verwerken van persoonsgegevens is noodzakelijk voor de doelstelling van het ziekenhuis, namelijk zorg verlenen aan patiënten.

Hoeveel is “op grote schaal”?

Het is niet mogelijk om een getal op het begrip “op grote schaal” te plaatsen. Bij de beoordeling of een verwerking op grote schaal plaatsvindt dient rekening te worden gehouden met de territoriale spreiding, het aantal verwerkte gegevens en betrokkene, de duur van de activiteit, …

Voorbeeld: De verwerking van persoonsgegevens door een bank wordt beschouwd als “op grote schaal”. De verwerking van persoonsgegevens door een arts dan weer niet.

Geen verplichting, toch een aanrader

Indien u als onderneming niet verplicht bent om een Data Protection Officer aan te stellen, kan het toch worden aanbevolen. Het aanstellen van een DPO geeft een duidelijk signaal dat u privacy en gegevensbescherming ernstig neemt en dit bevordert het positieve imago van uw bedrijf.

Het aanstellen van een DPO gaat weliswaar gepaard met een serieuze kostenpost. Een goede voorafgaande kosten/batenanalyse is dus van belang. Om u hierbij te helpen, stelden we voor u 5 datasecurity KPI’s op, waarmee u de inspanningen van uw DPO kan monitoren, opvolgen en bijsturen. Zo kan u van deze kostenpost een goede investering maken voor uw onderneming.

 

 

  2425