Ga naar content
Zoek op onderwerpen, blogs, diensten etc.
Kennis Wat is de rol van een Data Protection Officer? | Blog | Wortell

Wat is de rol van een Data Protection Officer? | Blog | Wortell

Kennis
4-12-2020

“Moet ook mijn organisatie een DPO aanstellen?” Dat is een van de meest frequente vragen die we te horen krijgen als we met klanten praten over de invoering van de AVG (de Algemene Verordening Gegevensbescherming, zoals de GDPR luidt in het Nederlands). Al even vaak horen we: “Wat doet een DPO in godsnaam?”. We gingen eens aankloppen bij Ludovic Bellia, sinds april 2017 DPO bij Attentia, partner in HR & Well-being.

Eerste vaststelling: de functie van DPO – kort voor Data Protection Officer – is eigenlijk niet nieuw, maar door de heisa rond de invoering van de GDPR wordt er nu simpelweg veel meer over gesproken. Meer nog: volgens de huidige privacywet zijn sommige organisaties nu al verplicht om een DPO aan te stellen. Tweede vaststelling: een DPO aanstellen betekent niet altijd een extra aanwerving. Om het even wie in de organisatie – maar best toch iemand die met het verwerken van gegevens te maken krijgt – kan de opleiding tot DPO volgen en met het bijbehorende certificaat in de hand aan de slag gaan als DPO.

“Zelf werk ik al sinds 2007 als informaticus bij Attentia, waar ik sinds 2010 verantwoordelijk ben voor de veiligheid van onze bedrijfsgegevens,” vertelt Bellia. “Daarom leek het een logische volgende stap dat ik in onze organisatie ook de rol van DPO zou vervullen, of Functionaris voor Gegevensbescherming, zoals het officieel heet. Daarvoor heb ik een intensieve cursus gevolgd aan het Data Protection Institute in Mechelen. In die opleiding ligt de nadruk vooral op het interpreteren van de AVG, de finesses ervan achterhalen en case studies uitwerken.

Adviseur met budget

Derde vaststelling: de invoering van de GDPR vormt niet alleen voor de CIO een uitdaging – onder andere ook de juridische dienst en HR-afdeling worden er beter bij betrokken. “Er is meer nodig dan enkel wat aanpassingen aan de IT-systemen,” legt Bellia uit. “De GDPR zal in veel organisaties ook tot organisatorische maatregelen leiden. Bedrijven moeten hun visie inzake privacy in een policy uitschrijven en toezien op de naleving ervan.”

Bij Attentia rapporteert Bellia in zijn hoedanigheid als DPO rechtstreeks aan de CEO. “Maar het is niet zo dat ik beslissingen neem. Ik heb een adviserende functie. Ik moet er dus voor zorgen dat andere afdelingen rekening houden met mijn adviezen, en dat is soms wel een uitdaging. Ik beschik wel over een eigen budget. Zo kan ik bijvoorbeeld middelen ter beschikking stellen voor de CIO als deze aanpassingen dient uit te voeren die ik gevraagd heb.

Maar ook mét een eigen budget staat een DPO voor een serieuze uitdaging. “Het belangrijkste is dat je een goede balans weet te vinden,” legt Bellia uit. “Uiteraard moeten persoonsgegevens adequaat worden beschermd maar dit mag niet ten koste gaan van de productiviteit van de organisatie. Hoewel een betere bescherming van gegevens soms ervaren wordt als een vertragende factor, zorgt dit net voor een verhoging van de productiviteit. Als er gegevens gelekt of beschadigd blijken te zijn – door een inbraak op je systeem, door een technische fout, door onoplettendheid, enzovoort – is het niet ondenkbaar dat databases en soms het hele IT-systeem tijdelijk worden afgesloten. Dát is pas nefast voor de productiviteit.”

Neem het zekere voor het onzekere

Blijft de vraag: welke bedrijven en organisaties moeten een DPO aanstellen? Die vraag blijkt nog altijd niet zo eenvoudig te beantwoorden. “Overheden zijn verplicht om een DPO aan te stellen bij de uitoefening van hun taken,” vertelt Bellia. “Daarnaast is het ook verplicht als de organisatie stelselmatig en op grote schaal persoonsgegevens behandelt, of als men bijzondere categorieën van persoonsgegevens verwerkt – denk bijvoorbeeld aan medische gegevens, of de seksuele geaardheid of politieke voorkeuren van individuen.”

Die omschrijving laat natuurlijk een zekere interpretatie toe. Vanaf wanneer behandel je “stelselmatig” persoonsgegevens, bijvoorbeeld? Bellia heeft een eenvoudig advies: “Bij twijfel zou ik het zekere voor het onzekere nemen en toch een DPO aanstellen. Beslis je om dat toch niet te doen, dan moet je die beslissing overigens schriftelijk en gedocumenteerd opnemen in je privacybeleid.”

Dat er zoveel ruimte voor interpretatie is bij het uitvoeren van de GDPR, kan volgens Bellia eigenlijk geen kwaad. “Integendeel”, beweert hij, “Op die manier zijn organisaties verplicht om eens grondig na te denken over de rol van persoonsgegevens in hun activiteiten, hoe ze daarmee omgaan, wie er allemaal bij betrokken is, enzovoort. De overweging om een DPO aan te stellen alleen al verplicht organisaties om hun privacybeleid op scherp te stellen, en dat is al een overwinning op zich.”