Heeft jouw bedrijf een data protection officer nodig?
De nieuwe wetgeving stelt strenge eisen aan de verwerking van persoonsgegevens, en voert enkele bijkomende maatregelen in voor bedrijven in en buiten Europa. Eén van die maatregelen maakt dat sommige bedrijven verplicht worden een expert in dienst te nemen: de data protection officer.
De DPO, of de “functionaris voor gegevensbescherming”, is degene die controleert of alle data naar behoren wordt bewaard, gebruikt en gedeeld. Sommige bedrijven hebben al geïnvesteerd in gelijkaardige functies, zoals bijvoorbeeld een privacy officer, maar binnenkort wordt de DPO een gevestigde waarde. Volgens een recente studie zullen er in Europa maar liefst 28.000 DPO’s nodig zijn als resultaat van de GDPR.
Wat doet een data protection officer?
Een data protection officer heeft uiteenlopende taken. Enerzijds informeert en adviseert hij het bedrijf over GDPR. Hij kan met andere woorden uitleggen hoe het bedrijf compliant wordt. Ook welke rechten en plichten het heeft in verband met de bescherming van data.
Daarnaast heeft hij een controlerende functie. Hij moet toezien dat de wetgeving wordt nageleefd; of de data adequaat wordt bewaard, of het personeel voldoende wordt getraind, of de nodige audits worden gehouden, enzovoort.
Ten slotte fungeert hij als contactpunt voor de externe autoriteiten. Als het bedrijf bijvoorbeeld te maken krijgen met een datalek, kan hij de Privacycommissie te woord staan voor meer informatie.
Heeft mijn bedrijf een data protection officer nodig?
Of je een DPO moet aannemen, hangt af van een paar factoren. Er zijn drie soorten bedrijven die verplicht zijn om een DPO aan te nemen:
• alle organisaties in de publieke sector (behalve rechterlijke instanties), zoals overheidsorganisaties ;
• bedrijven die bij de dataverwerking “regelmatige en stelselmatige observatie” nodig hebben. Dat kan bijvoorbeeld vanwege “aard, omvang of doeleinden” van de verwerking;
• bedrijven die persoonsgegevens verwerken uit een “bijzondere categorie“. Dat gaan gaan over informatie over ras, politieke opvattingen, religie, biometrische gegevens, gezondheid, seksuele geaardheid of strafrechtelijke veroordelingen.
Belangrijk om te weten is ook dat een DPO volgens een vorig voorstel van de GDPR enkel verplicht kon zijn voor bedrijven met meer dan 250 werknemers. Die voorwaarde ontbreekt echter in de uiteindelijke versie; de grootte van een bedrijf doet er dus nu niet meer toe.
Wat de wetgeving voor ogen heeft met de “aard, omvang of doeleinden”, wordt daarnaast niet concreet verduidelijkt. Wellicht wordt hiermee big data bedoeld, maar een exacte omschrijving blijft uit.
Waar vind ik een data protection officer?
De data protection officer hoeft niet per se een vaste werknemer te worden; je kan ook opteren voor een consultant. Bovendien kan ook een bestaande werknemer de rol van DPO op zich nemen. Zolang zijn andere taken niet in conflict komen met zijn job als DPO. Beide opties kunnen de kosten drukken, en maken het vinden van een geschikte DPO heel wat eenvoudiger.
In de GDPR wordt daarnaast niet beschreven welke specificaties gelden voor een DPO. Er wordt geen gewag gemaakt van een specifiek diploma of certificaat; in de plaats daarvan moet hij beschikken over “deskundigheid op het gebied van wetgeving en de praktijk inzake gegevensbescherming”. Met die ruime omschrijving ligt de weg open voor bestaande werkkrachten, zoals legal consultants of privacy officers, om de taak van DPO op te pikken. Of zo de 28.000 vacatures opgevuld raken, blijft afwachten.
Als jouw bedrijf op grote schaal data verwerkt, is het met andere woorden waarschijnlijk dat je op zoek moet naar een DPO. Sinds 25 mei 2018, de dag waarop de GDPR officieel van kracht ging licht al een tijd achter ons. Investeren in een data protection officer is dus geen overbodige luxe.