Op 25 mei 2018 is het dan zover, dan wordt de veelbesproken Europese wet- en regelgeving ter bescherming van onze persoonsgegevens van kracht. Onderdeel van deze General Data Protection Regulation (GDPR), of in het Nederlands kortweg AVG (Algemene Verordening Gegevensbescherming), is de benoeming van één data protection officer (dpo).
De nieuwe wetgeving stelt dat er in elke organisatie maar één dpo actief kan zijn. Voor alle duidelijkheid, dat is niet bijvoorbeeld de huisadvocaat of de it-directeur die verantwoordelijk is voor digitale veiligheid. Het mag ook iemand van buitenaf zijn, zolang er maar geen sprake is van belangenverstrengeling. Maar wat wordt er zoal verwacht van de dpo?
Eigenlijk best veel. Ook al voorziet GDPR niet in een definitie van de dpo-vaardigheden, hij of zij moet flink wat professionele kwaliteiten in huis hebben. De dpo moet bijvoorbeeld diepgaande kennis van de GDPR-wetgeving hebben. Het mag duidelijk zijn dat u de dpo niet meer in detail hoeft uit te leggen waar de nieuwe privacywetgeving voor staat. Dat doet hij of zij zelf wel. De dpo is een interne toezichthouder en tegelijkertijd eerste aanspreekpunt voor de Autoriteit Persoonsgegevens in ons land. Hij of zij ziet toe op het correct naleven van de privacymaatregelen die de organisatie heeft genomen. Daarom is het ook belangrijk dat de dpo een onafhankelijke positie heeft en dus niet gecombineerd wordt met een andere bestuurders- en/of managersfunctie. De dpo neemt contact op met de Autoriteit Persoonsgegevens of de Europese Supervisory Authority op het moment dat er sprake is van een datalek. Zowel voor het melden als de opvolging daarvan.
Het is verder raadzaam dat de dpo op de hoogte is van privacybepalingen in andere landen. Voor een organisatie met activiteiten over de landsgrenzen heen, is het zaak dat de dpo bekend is met de privacywetgeving van landen waarin data wordt uitgewisseld. De dpo moet inhoudelijk advies geven aan zowel de beheerder van data als personen die data verwerken.
Ook moet de dpo een gedegen inzicht hebben in de type persoonsgegevens die binnen een organisatie in omloop zijn en hoe die worden verwerkt. En vooral ook met welk doel. Dat geldt voor gegevens die zowel binnen als buiten de organisatie worden uitgewisseld. Dergelijke vraagstukken komen aan bod tijdens het data protection impact assessment (dpia). De dpo zorgt ervoor, dat deze vragen aan bod komen, dat het benodigde inzicht wordt verkregen en dat voortdurend getoetst wordt op het naleven van genomen privacymaatregelen.
Weet wel dat de dpo geen technicus is die in detail weet hoe ict-systemen ontwikkeld en beheerd worden. Maar hij of zij moet wel weten hoe het ict-landschap eruit ziet. Zo moet immers inzichtelijk zijn wie toegang heeft tot welke systemen voor welke persoonsgegevens. De dpo moet ook kunnen uitleggen welke technische maatregelen genomen zijn ter bescherming van persoonsgegevens. Denk daarbij aan het anonimiseren van gegevens of de inzet van encryptie. Vervolgens moet de dpo ook kunnen vertellen waar welke persoonsgegevens zijn opgeslagen. Is dat binnen de locatie van de organisatie of bijvoorbeeld in een publieke cloudomgeving in het buitenland?
Groot aantal vaardigheden
Kortom, de dpo beschikt over een groot aantal vaardigheden voor een grote verantwoordelijkheid. Uiteraard kan hij of zij daarbij ondersteund worden door een aantal teamgenoten. Dat valt en staat uiteraard ook met de grootte en complexiteit van de organisatie. Zo is er in veel grote organisaties sprake van een data protection office. Dé centrale plaats in de organisatie voor alle privacy-aangelegenheden.
Als u nu nog geen dpo heeft aangesteld, haast u dan om met dit functieprofiel de wervingsprocedure direct in gang te zetten.
Pieter Duijfjes, consultant bij Sogeti
Ben eigenlijk erg benieuwd wel percentage van de organisaties (NL en BE) een DPO heeft benoemd per 25 mei 2018, hetzij als rol hetzij als functie of dit simpelweg zien als een extra taak voor de integrale manager(s). http://www.wiehetweetmaghetzeggen.nl
@Pieter, met alle respect voor je artikel maar waar haal je vandaan dat het voor elke organisatie verplicht is om een DPO aan te stellen?