Data Protection Officers zijn een fundamenteel onderdeel van de bredere cyberbeveiligingsoperatie van elke organisatie.
GDPR Artikel 37 benadrukt het belang van de rol en biedt richtlijnen over hoe een DPO moet worden benoemd, wat de kernactiviteiten van de rol zijn en hoe dergelijke benoemingen worden gecommuniceerd.
Aanwijzing van de functionaris voor gegevensbescherming
- De verwerkingsverantwoordelijke en de verwerker wijzen in ieder geval een functionaris voor gegevensbescherming aan:
- a) de verwerking wordt uitgevoerd door een overheidsinstantie of -orgaan, met uitzondering van rechtbanken die in hun rechterlijke hoedanigheid optreden;
- (b) de kernactiviteiten van de verwerkingsverantwoordelijke of de verwerker bestaan uit verwerkingen die vanwege hun aard, omvang en/of doeleinden een regelmatige en systematische monitoring van de betrokkenen op grote schaal vereisen; of
- c) de kernactiviteiten van de verwerkingsverantwoordelijke of de verwerker bestaan uit de verwerking op grote schaal van bijzondere categorieën gegevens overeenkomstig artikel 9 en persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten bedoeld in artikel 10.
- Een combinatie van ondernemingen kan één functionaris voor gegevensbescherming aanstellen, op voorwaarde dat een functionaris voor gegevensbescherming vanuit elke vestiging gemakkelijk bereikbaar is.
- Wanneer de verwerkingsverantwoordelijke of de verwerker een overheidsinstantie of -orgaan is, kan voor meerdere van dergelijke autoriteiten of instanties één functionaris voor gegevensbescherming worden aangewezen, rekening houdend met hun organisatiestructuur en omvang.
- In andere gevallen dan die bedoeld in lid 1 kunnen de voor de verwerking verantwoordelijke of de verwerker of verenigingen en andere instanties die categorieën van voor de verwerking verantwoordelijken of verwerkers vertegenwoordigen, een functionaris voor gegevensbescherming aanwijzen of, indien vereist door de wetgeving van de Unie of de lidstaten, een functionaris voor gegevensbescherming aanwijzen. De functionaris voor gegevensbescherming kan optreden voor dergelijke verenigingen en andere instanties die verwerkingsverantwoordelijken of verwerkers vertegenwoordigen.
- De functionaris voor gegevensbescherming wordt aangewezen op basis van professionele kwaliteiten en, in het bijzonder, deskundige kennis van de wetgeving en praktijken op het gebied van gegevensbescherming en het vermogen om de in artikel 39 bedoelde taken te vervullen.
- De functionaris voor gegevensbescherming kan een medewerker van de verwerkingsverantwoordelijke of verwerker zijn, of de taken vervullen op basis van een dienstverleningsovereenkomst.
- De verwerkingsverantwoordelijke of de verwerker publiceert de contactgegevens van de functionaris voor gegevensbescherming en deelt deze mee aan de toezichthoudende autoriteit.
Aanwijzing van de functionaris voor gegevensbescherming
- De verwerkingsverantwoordelijke en de verwerker wijzen in ieder geval een functionaris voor gegevensbescherming aan:
- a) de verwerking wordt uitgevoerd door een overheidsinstantie of -orgaan, met uitzondering van rechtbanken die in hun rechterlijke hoedanigheid optreden;
- (b) de kernactiviteiten van de verwerkingsverantwoordelijke of de verwerker bestaan uit verwerkingen die vanwege hun aard, omvang en/of doeleinden een regelmatige en systematische monitoring van de betrokkenen op grote schaal vereisen; of
- c) de kernactiviteiten van de verwerkingsverantwoordelijke of de verwerker bestaan uit de verwerking op grote schaal van bijzondere categorieën gegevens overeenkomstig artikel 9 en persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten bedoeld in artikel 10.
- Een combinatie van ondernemingen kan één functionaris voor gegevensbescherming aanstellen, op voorwaarde dat een functionaris voor gegevensbescherming vanuit elke vestiging gemakkelijk bereikbaar is.
- Wanneer de verwerkingsverantwoordelijke of de verwerker een overheidsinstantie of -orgaan is, kan voor meerdere van dergelijke autoriteiten of instanties één functionaris voor gegevensbescherming worden aangewezen, rekening houdend met hun organisatiestructuur en omvang.
- In andere gevallen dan die bedoeld in lid 1 kunnen de voor de verwerking verantwoordelijke of de verwerker of verenigingen en andere instanties die categorieën van voor de verwerking verantwoordelijken of verwerkers vertegenwoordigen, een functionaris voor gegevensbescherming aanwijzen. De functionaris voor gegevensbescherming kan optreden voor dergelijke verenigingen en andere instanties die verwerkingsverantwoordelijken of verwerkers vertegenwoordigen.
- De functionaris voor gegevensbescherming wordt aangewezen op basis van professionele kwaliteiten en, in het bijzonder, deskundige kennis van de wetgeving en praktijken op het gebied van gegevensbescherming en het vermogen om de in artikel 39 bedoelde taken te vervullen.
- De functionaris voor gegevensbescherming kan een medewerker van de verwerkingsverantwoordelijke of verwerker zijn, of de taken vervullen op basis van een dienstverleningsovereenkomst.
- De verwerkingsverantwoordelijke of de verwerker publiceert de contactgegevens van de functionaris voor gegevensbescherming en deelt deze mee aan de commissaris.
Artikel 37 van de AVG schetst zeven belangrijke gebieden waarmee organisaties rekening moeten houden bij het benoemen en beheren van de activiteiten van een Functionaris voor Gegevensbescherming :
In deze sectie praten we over AVG Artikelen 37 (1)(a), 37 (1)(b), 37 (1)(c), 37 (2), 37 (3), 37 (4), 37 (5 ), 37 (6), 37(7)
Organisaties moeten rollen en verantwoordelijkheden definiëren die specifiek zijn voor individuele functies binnen hun privacybeleid – zowel hun algemene beleid als hun onderwerpspecifieke beleid.
Individuen met specifieke verantwoordelijkheden moeten voldoende bekwaam zijn om privacygerelateerde taken uit te voeren, en moeten voortdurende ondersteuning krijgen die een aanvaardbaar competentieniveau handhaaft.
Tot de verantwoordelijkheidsgebieden behoren onder meer:
ISO erkent dat elke organisatie uniek is in de manier waarop zij informatie verwerkt. De bovenstaande verantwoordelijkheidsgebieden moeten vergezeld gaan van locatie- en faciliteitspecifieke richtlijnen die rekening houden met factoren uit de praktijk die van invloed zijn op de PII-verwerking van een organisatie.
Alle bovengenoemde verantwoordelijkheden en veiligheidsgebieden moeten duidelijk worden gedocumenteerd en beschikbaar worden gesteld aan alle relevante personeelsleden.
Organisaties moeten een persoon benoemen die klanten (en externe autoriteiten) kunnen gebruiken als speciaal aanspreekpunt voor alle PII-gerelateerde zaken (zie ISO 27701 paragraaf 7.3.2).
Bovendien moeten organisaties de verantwoordelijkheid delegeren aan een of meer individuen voor het opzetten van een organisatorisch programma voor privacybeheer dat de naleving van lokale en nationale wet- en regelgeving op het gebied van PII bevordert.
AVG-artikel | ISO 27701-clausule | ISO 27701 Ondersteunende clausules |
---|---|---|
EU AVG Artikelen 37 (1)(a) tot 37 (7) | ISO 27701 6.3.1.1 | ISO 27701 7.3.2 |
Uw complete AVG-oplossing.
Onze kant-en-klare omgeving past naadloos in uw beheersysteem en stelt u in staat uw aanpak voor het beschermen van uw Europese en Britse klantgegevens te beschrijven en te demonstreren.
Met ISMS.online kunt u eenvoudig een niveau van privacybescherming aantonen dat verder gaat dan 'redelijk', en dat alles op één veilige, altijd beschikbare locatie.
Meer informatie via een demo boeken.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
Vraag een offerte aan