DPO

Data protection is Engels voor bescherming van persoonsgegevens. De Data Protection Officer (DPO) houdt toezicht op de naleving van de privacywetgeving in een organisatie. De privacywetgeving is vastgelegd in de Algemene verordening gegevensbescherming (AVG). De AVG legt onder meer verschillende verplichtingen op. Enkele verplichtingen zijn:

• je moet persoonlijke gegevens zoals van klanten, personeel en websitebezoekers goed beveiligen

• je hebt een privacyverklaring waarmee je hen informeert over je gebruik van persoonlijke gegevens

• je moet toestemming vragen van de bezoekers van je website voor gebruik van bepaalde cookies en het melden van gebruik van overige cookies met een cookieverklaring

• schriftelijk afsluiten van een verwerkersovereenkomst als je persoonsgegevens overdraagt aan een ander

• toestemming vragen voor het versturen van een nieuwsbrief en in iedere nieuwsbrief aangeven hoe iemand zich eenvoudig kan afmelden

Een Data Protection Officer (DPO) zorgt ervoor dat binnen je organisatie de AVG wordt nageleefd. Daar komt bij dat de AVG specifieke taken en verantwoordelijkheden aan de DPO opdraagt. Je moet de DPO bijvoorbeeld aanmelden bij de Autoriteit Persoonsgegevens (AP). Een DPO is dus geen vrijblijvende functie. Zo bepaalt de AVG dat de DPO:

• onafhankelijk van de organisatie zijn taken moet kunnen uitvoeren
• door je organisatie in een vroeg stadium betrokken moet worden bij de ontwikkeling van producten en diensten
• goed zichtbaar moet zijn binnen de organisatie
• direct, zonder tussenkomst van anderen, benaderbaar en aanspreekbaar moet zijn
• moet ingrijpen als het (mogelijk) fout gaat als hij risico’s signaleert bij verwerkingen
• de organisatie op deze risico's moet kunnen aanspreken
• op het hoogste bestuurlijke niveau zijn zorgen over deze risico's kan uiten
• een centrale positie moet innemen bij contacten tussen de AP en de organisatie

De Nederlandse benaming voor Data Protection Officer is Functionaris voor de Gegevensbescherming (FG). Voor de plichten en taken die de AVG toekent aan de DPO maakt het niet uit welke van 2 namen de medewerker heeft. 

Of je als organisatie verplicht bent om een DPO aan te stellen, hangt van een aantal factoren af. Is gegevensverwerking een kernactiviteit binnen je organisatie, dan is een DPO waarschijnlijk verplicht. Een andere factor is dat de gegevensverwerking op grote schaal moet plaatsvinden. Denk hierbij aan:

• het aantal betrokkenen
• het aantal verschillende gegevens dat je verzamelt
• de duur van de verwerkingsactiviteit
• de geografische spreiding ervan

Voorbeelden zijn de verwerkingen van klantgegevens door een verzekeraar of een bank. Gegevensverwerking door een individuele arts een individuele advocaat zijn bijvoorbeeld niet grootschalig. 

Als je niet verplicht om een DPO aan te stellen, is het toch verstandig om een medewerker aan te stellen die toezicht houdt op de naleving van de AVG binnen je organisatie. Voldoe je namelijk niet aan de eisen die de AVG stelt aan gegevensverwerking, kan je dat op flinke boetes komen te staan. 

De Privacy Officer (PO) houdt niet alleen toezicht op de omgang met persoonsgegevens, maar heeft ook een adviserende rol. Hij adviseert je medewerkers over privacygerelateerde zaken en geeft trainingen om de kennis over dit onderwerp te vergroten. Ook kan hij een rol spelen bij de uitvoering van een Data protection impact assessment (DPIA) en bij het melden van datalekken. Tot slot fungeert hij als contactpersoon voor de betrokkenen en de AP.