Begrijpen van DPO-vereisten: naleving van AVG-artikel 37
Data Protection Officers zijn een fundamenteel onderdeel van de bredere cyberbeveiligingsoperatie van elke organisatie.
GDPR Artikel 37 benadrukt het belang van de rol en biedt richtlijnen over hoe een DPO moet worden benoemd, wat de kernactiviteiten van de rol zijn en hoe dergelijke benoemingen worden gecommuniceerd.
AVG Artikel 37 Wettelijke tekst
EU AVG-versie
Aanwijzing van de functionaris voor gegevensbescherming
- De verwerkingsverantwoordelijke en de verwerker wijzen in ieder geval een functionaris voor gegevensbescherming aan:
- a) de verwerking wordt uitgevoerd door een overheidsinstantie of -orgaan, met uitzondering van rechtbanken die in hun rechterlijke hoedanigheid optreden;
- (b) de kernactiviteiten van de verwerkingsverantwoordelijke of de verwerker bestaan uit verwerkingen die vanwege hun aard, omvang en/of doeleinden een regelmatige en systematische monitoring van de betrokkenen op grote schaal vereisen; of
- c) de kernactiviteiten van de verwerkingsverantwoordelijke of de verwerker bestaan uit de verwerking op grote schaal van bijzondere categorieën gegevens overeenkomstig artikel 9 en persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten bedoeld in artikel 10.
- Een combinatie van ondernemingen kan één functionaris voor gegevensbescherming aanstellen, op voorwaarde dat een functionaris voor gegevensbescherming vanuit elke vestiging gemakkelijk bereikbaar is.
- Wanneer de verwerkingsverantwoordelijke of de verwerker een overheidsinstantie of -orgaan is, kan voor meerdere van dergelijke autoriteiten of instanties één functionaris voor gegevensbescherming worden aangewezen, rekening houdend met hun organisatiestructuur en omvang.
- In andere gevallen dan die bedoeld in lid 1 kunnen de voor de verwerking verantwoordelijke of de verwerker of verenigingen en andere instanties die categorieën van voor de verwerking verantwoordelijken of verwerkers vertegenwoordigen, een functionaris voor gegevensbescherming aanwijzen of, indien vereist door de wetgeving van de Unie of de lidstaten, een functionaris voor gegevensbescherming aanwijzen. De functionaris voor gegevensbescherming kan optreden voor dergelijke verenigingen en andere instanties die verwerkingsverantwoordelijken of verwerkers vertegenwoordigen.
- De functionaris voor gegevensbescherming wordt aangewezen op basis van professionele kwaliteiten en, in het bijzonder, deskundige kennis van de wetgeving en praktijken op het gebied van gegevensbescherming en het vermogen om de in artikel 39 bedoelde taken te vervullen.
- De functionaris voor gegevensbescherming kan een medewerker van de verwerkingsverantwoordelijke of verwerker zijn, of de taken vervullen op basis van een dienstverleningsovereenkomst.
- De verwerkingsverantwoordelijke of de verwerker publiceert de contactgegevens van de functionaris voor gegevensbescherming en deelt deze mee aan de toezichthoudende autoriteit.
Britse AVG-versie
Aanwijzing van de functionaris voor gegevensbescherming
- De verwerkingsverantwoordelijke en de verwerker wijzen in ieder geval een functionaris voor gegevensbescherming aan:
- a) de verwerking wordt uitgevoerd door een overheidsinstantie of -orgaan, met uitzondering van rechtbanken die in hun rechterlijke hoedanigheid optreden;
- (b) de kernactiviteiten van de verwerkingsverantwoordelijke of de verwerker bestaan uit verwerkingen die vanwege hun aard, omvang en/of doeleinden een regelmatige en systematische monitoring van de betrokkenen op grote schaal vereisen; of
- c) de kernactiviteiten van de verwerkingsverantwoordelijke of de verwerker bestaan uit de verwerking op grote schaal van bijzondere categorieën gegevens overeenkomstig artikel 9 en persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten bedoeld in artikel 10.
- Een combinatie van ondernemingen kan één functionaris voor gegevensbescherming aanstellen, op voorwaarde dat een functionaris voor gegevensbescherming vanuit elke vestiging gemakkelijk bereikbaar is.
- Wanneer de verwerkingsverantwoordelijke of de verwerker een overheidsinstantie of -orgaan is, kan voor meerdere van dergelijke autoriteiten of instanties één functionaris voor gegevensbescherming worden aangewezen, rekening houdend met hun organisatiestructuur en omvang.
- In andere gevallen dan die bedoeld in lid 1 kunnen de voor de verwerking verantwoordelijke of de verwerker of verenigingen en andere instanties die categorieën van voor de verwerking verantwoordelijken of verwerkers vertegenwoordigen, een functionaris voor gegevensbescherming aanwijzen. De functionaris voor gegevensbescherming kan optreden voor dergelijke verenigingen en andere instanties die verwerkingsverantwoordelijken of verwerkers vertegenwoordigen.
- De functionaris voor gegevensbescherming wordt aangewezen op basis van professionele kwaliteiten en, in het bijzonder, deskundige kennis van de wetgeving en praktijken op het gebied van gegevensbescherming en het vermogen om de in artikel 39 bedoelde taken te vervullen.
- De functionaris voor gegevensbescherming kan een medewerker van de verwerkingsverantwoordelijke of verwerker zijn, of de taken vervullen op basis van een dienstverleningsovereenkomst.
- De verwerkingsverantwoordelijke of de verwerker publiceert de contactgegevens van de functionaris voor gegevensbescherming en deelt deze mee aan de commissaris.
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.
Technisch commentaar
Artikel 37 van de AVG schetst zeven belangrijke gebieden waarmee organisaties rekening moeten houden bij het benoemen en beheren van de activiteiten van een Functionaris voor Gegevensbescherming :
- De onderliggende verplichting om een Functionaris Gegevensbescherming aan te stellen.
- Het recht om een FG aan te stellen voor grote groepsondernemingen.
- De mogelijkheid voor groepen organisaties om één enkele DPO aan te stellen die tegemoetkomt aan hun gedeelde verplichtingen en organisatiestructuur.
- Bijzondere omstandigheden die zich lenen voor de aanstelling van een DPO (een intermediair tussen organisaties en bestuursorganen).
- De expertise van de DPO, inclusief eventuele relevante juridische en operationele ervaring.
- Het contracteren van DPO-taken, in plaats van er één intern aan te stellen.
- Het beschikbaar stellen van de contactgegevens van een DPO aan iedereen die deze nodig heeft en die deze wettelijk mag verkrijgen.
ISO 27701 Clausule 6.3.1.1 (Informatiebeveiligingsrollen en verantwoordelijkheden) en EU AVG Artikel 37
In deze sectie praten we over AVG Artikelen 37 (1)(a), 37 (1)(b), 37 (1)(c), 37 (2), 37 (3), 37 (4), 37 (5 ), 37 (6), 37(7)
Organisaties moeten rollen en verantwoordelijkheden definiëren die specifiek zijn voor individuele functies binnen hun privacybeleid – zowel hun algemene beleid als hun onderwerpspecifieke beleid.
Individuen met specifieke verantwoordelijkheden moeten voldoende bekwaam zijn om privacygerelateerde taken uit te voeren, en moeten voortdurende ondersteuning krijgen die een aanvaardbaar competentieniveau handhaaft.
Tot de verantwoordelijkheidsgebieden behoren onder meer:
- De bescherming van PII en alle privacygerelateerde activa.
- Uitvoeren van privacybeschermingsprocedures.
- PII-gerelateerde risicobeheeractiviteiten, inclusief herstelmaatregelen.
- Iedereen die gebruik maakt van de informatie en gegevens van de organisatie, inclusief het gebruik van ICT-middelen.
- Individuen met de hoogste verantwoordelijkheid voor de bescherming van de privacy die taken aan anderen delegeren.
ISO erkent dat elke organisatie uniek is in de manier waarop zij informatie verwerkt. De bovenstaande verantwoordelijkheidsgebieden moeten vergezeld gaan van locatie- en faciliteitspecifieke richtlijnen die rekening houden met factoren uit de praktijk die van invloed zijn op de PII-verwerking van een organisatie.
Alle bovengenoemde verantwoordelijkheden en veiligheidsgebieden moeten duidelijk worden gedocumenteerd en beschikbaar worden gesteld aan alle relevante personeelsleden.
Organisaties moeten een persoon benoemen die klanten (en externe autoriteiten) kunnen gebruiken als speciaal aanspreekpunt voor alle PII-gerelateerde zaken (zie ISO 27701 paragraaf 7.3.2).
Bovendien moeten organisaties de verantwoordelijkheid delegeren aan een of meer individuen voor het opzetten van een organisatorisch programma voor privacybeheer dat de naleving van lokale en nationale wet- en regelgeving op het gebied van PII bevordert.
Ondersteunende ISO 27701-clausules
- ISO 27701 7.3.2
Index van gekoppelde EU AVG-artikelen en ISO 27701-clausules
| AVG-artikel | ISO 27701-clausule | ISO 27701 Ondersteunende clausules |
|---|---|---|
| EU AVG Artikelen 37 (1)(a) tot 37 (7) | ISO 27701 6.3.1.1 | ISO 27701 7.3.2 |
Hoe ISMS.online helpt
Uw complete AVG-oplossing.
Onze kant-en-klare omgeving past naadloos in uw beheersysteem en stelt u in staat uw aanpak voor het beschermen van uw Europese en Britse klantgegevens te beschrijven en te demonstreren.
Met ISMS.online kunt u eenvoudig een niveau van privacybescherming aantonen dat verder gaat dan 'redelijk', en dat alles op één veilige, altijd beschikbare locatie.
Meer informatie via een demo boeken.
