De rollen van de Data Protection Officer

Met de intreding van de Algemene verordening gegevensbescherming (AVG) spelen Data Protection Officers (DPO’s) / Functionarissen gegevensbescherming (FG) een essentiele rol voor de bescherming van de persoonsgegevens die jouw organisatie verwerkt. Door te voldoen aan de verantwoordingsplicht  lever je een belangrijke bijdrage aan de bescherming van het grondrecht van mensen op privacy.

Regelmatig komt het voor dat DPO’s, niet of te laat betrokken worden bij plannen waarbij gegevens worden verwerkt, niet de juiste stukken ontvangen of onvoldoende tijd krijgen om te kunnen doen wat er van een DPO wordt verwacht. Met als risico dat gegevens niet goed beschermd worden. Onlangs publiceere de Autoriteit Persoonsgegeens (AP) uitgangspunten voor de positionering van de DPO.

bron: Autoriteit persoonsgegevens

8 Uitgangspunten

  1. DPO als adviseur
    De DPO is de interne, onafhankelijke privacyfunctionaris ten dienste van de organisatie. De organisatie is verantwoordelijk voor het opstellen en uitvoeren van het privacybeleid. De DPO ziet toe op de naleving hiervan en brengt advies uit over de risico’s van bestaande verwerkingen en voorgenomen nieuwe producten en diensten.
  2. DPO als toezichthouder
    De DPO is de onafhankelijke interne toezichthouder. De DPO controleert of de organisatie de AVG goed toepast en ziet erop toe dat betrokkenen hun privacyrechten kunnen uitoefenen. Problemen met compliance bespreekt de FG met de verantwoordelijke binnen de organisatie.
  3. Middelen en toegang tot bestuur
    Het bestuur van de organisatie waarborgt de onafhankelijke positie van de DPO door deze op de juiste manier organisatorisch in te bedden, en de DPO voldoende middelen en toegang tot het bestuur en de organisatie te geven. Ook zorgt de organisatie ervoor dat de DPO vroegtijdig betrokken wordt bij zaken die verband houden met de bescherming van persoonsgegevens. Problemen met middelen en positionering bespreekt de DPO met het bestuur van organisatie. In het uiterste geval kan de DPO om rugdekking vragen bij de AP. Dat kan wanneer de DPO na herhaalde pogingen geen bevredigende reactie krijgt, bijvoorbeeld ontslagen dreigt te worden of anderszins ervaart dat zijn onafhankelijke positie onder druk komt te staan. De AP komt pas in beeld wanneer andere interventies van de DPO geen soelaas hebben geboden. De AP kiest zelf wat de AP met dit verzoek doet.
  4. Informatiepositie DPO
    Wanneer de AP contact heeft met een organisatie wordt de DPO (direct of zo snel mogelijk erna ) hiervan op de hoogte gesteld. Het is de verantwoordelijkheid van de organisatie om de DPO tijdig en naar behoren te informeren. De AP verwacht dat de organisatie deze plicht uiterst serieus neemt.
  5. Klachten en escalatieladder
    De AP gaat ervan uit dat betrokkenen (burgers, klanten, medewerkers) die er met de organisatie niet uitkomen, zich eerst tot de DPO wenden voordat zij zich bij de AP melden. Het is niet verboden voor de betrokkene om zich direct bij de AP te melden, maar de AP wijst wel actief op de gewenste volgorde.
  6. Start onderzoek
    Besluit de AP een formeel onderzoek te starten, dan spreekt de AP vanaf dat moment niet met de DPO over de inhoud van het onderzoek.
  7. Gebruik inzichten DPO door AP
    De AP kan adviezen van de DPO aan de organisatie bij de beeldvorming en oordeelsvorming betrekken.
  8. DPO als informatieknooppunt
    Het is voor de DPO niet gepast om in een juridische procedure namens de organisatie te spreken, omdat dit zijn onafhankelijke positie aantast. De organisatie kan wel voor het reguliere contact met de AP verzoeken om de DPO als primair aanspreekpunt (informatieknooppunt) te laten fungeren. Afhankelijk van de fase en aard van het contact kan de AP dit toestaan.

Data Protection Officer’s (DPO) / Functionarissen Gegevensbescherming (FG) staan voor vele uitdagingen. Het is dan ook raadzaam om je voorduurend te blijven ontwikkelen.

Opleiding Data Protection Officer

Deze 4-daagse opleiding geeft je inzicht in privacy governance, privacy compliance en informatiebeveiliging. Je leert uit de eerste hand hoe je aan de functie handen en voeten geeft en wat jouw valkuilen zijn
Bekijk de opleiding

Over sbo

Het Studiecentrum voor Bedrijf en Overheid (SBO) organiseert jaarlijks zo’n 200 studiedagen en opleidingen over o.a. ruimtelijke ordening & milieu, bestuur, verkeer & vervoer, sociale zekerheid, onderwijs en gezondheidszorg.

Bekijk ook

Breng privacy-risico’s in kaart met de DPIA

Een DPIA staat voor ‘Data Protection Impact Assessment’. Het is een instrument om (voorafgaand aan …

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *