GDPR Artikel 39 schetst de minimale reeks taken die een DPO moet uitvoeren om als effectief te worden beschouwd, inclusief hun verplichtingen ten opzichte van de wet en hun interactie met overheidsinstanties.
Taken van de functionaris voor gegevensbescherming
- De functionaris voor gegevensbescherming heeft in ieder geval de volgende taken:
- a) het informeren en adviseren van de verwerkingsverantwoordelijke of de verwerker en de werknemers die de verwerking uitvoeren over hun verplichtingen uit hoofde van deze verordening en andere bepalingen inzake gegevensbescherming van de Unie of de lidstaten;
- b) toezicht houden op de naleving van deze verordening, van andere bepalingen inzake gegevensbescherming van de Unie of van de lidstaten en van het beleid van de verwerkingsverantwoordelijke of verwerker met betrekking tot de bescherming van persoonsgegevens, met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van personeel betrokken bij verwerkingen en de daarmee samenhangende audits;
- c) desgevraagd advies verstrekken over de gegevensbeschermingseffectbeoordeling en toezicht houden op de prestaties ervan overeenkomstig artikel 35;
- d) samenwerken met de toezichthoudende autoriteit;
- e) het optreden als contactpunt voor de toezichthoudende autoriteit over kwesties die verband houden met de verwerking, met inbegrip van het voorafgaande overleg als bedoeld in artikel 36, en het raadplegen, in voorkomend geval, over alle andere aangelegenheden.
- De functionaris voor gegevensbescherming houdt bij de uitvoering van zijn of haar taken terdege rekening met de risico’s die aan verwerkingen verbonden zijn, rekening houdend met de aard, omvang, context en doeleinden van de verwerking.
Taken van de functionaris voor gegevensbescherming
- De functionaris voor gegevensbescherming heeft in ieder geval de volgende taken:
- (a) het informeren en adviseren van de verwerkingsverantwoordelijke of de verwerker en de werknemers die de verwerking uitvoeren over hun verplichtingen uit hoofde van deze verordening en andere nationale wetten met betrekking tot gegevensbescherming;
- (b) toezicht houden op de naleving van deze verordening, van ander nationaal recht met betrekking tot gegevensbescherming en van het beleid van de verwerkingsverantwoordelijke of verwerker met betrekking tot de bescherming van persoonsgegevens, met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het betrokken personeel bij verwerkingen en de daarmee samenhangende audits;
- c) desgevraagd advies verstrekken over de gegevensbeschermingseffectbeoordeling en toezicht houden op de prestaties ervan overeenkomstig artikel 35;
- (d) samenwerken met de commissaris;
- e) optreden als contactpunt voor de commissaris over kwesties die verband houden met de verwerking, met inbegrip van het voorafgaande overleg als bedoeld in artikel 36, en, indien nodig, overleg plegen over alle andere aangelegenheden.
- De functionaris voor gegevensbescherming houdt bij de uitvoering van zijn of haar taken terdege rekening met de risico’s die aan verwerkingen verbonden zijn, rekening houdend met de aard, omvang, context en doeleinden van de verwerking.
DPO’s moeten organisaties niet alleen informeren en adviseren over verwerkingsactiviteiten, maar ook toezicht houden op de naleving van eventueel geldende wetgeving.
De aangewezen DPO van een organisatie speelt ook een centrale rol wanneer de noodzaak zich voordoet om een Data Protection Impact Assessment (DPIA) uit te voeren.
Het is belangrijk op te merken dat, hoewel de rol van een DPO nauw gebonden is aan vertrouwelijkheidsbeginselen, zij nog steeds begeleiding en advies kunnen inwinnen bij regelgevende en juridische autoriteiten.
In deze sectie hebben we het over AVG Artikelen 39 (1)(a), 39 (1)(b), 39 (1)(c), 39 (1)(d), 39 (1)(e), 39 ( 2)
DPO's moeten voldoende bekwaam zijn om privacygerelateerde taken uit te voeren, en moeten voortdurende ondersteuning krijgen om een aanvaardbaar competentieniveau te behouden.
ISO erkent dat elke organisatie uniek is in de manier waarop zij informatie verwerkt. De bovenstaande verantwoordelijkheidsgebieden moeten vergezeld gaan van locatie- en faciliteitspecifieke richtlijnen die rekening houden met factoren uit de praktijk die van invloed zijn op de PII-verwerking van een organisatie.
Organisaties moeten een persoon benoemen die klanten (en externe autoriteiten) kunnen gebruiken als speciaal aanspreekpunt voor alle PII-gerelateerde zaken (zie ISO 27701 7.3.2), namelijk een DPO.
Bovendien moeten organisaties de verantwoordelijkheid voor het opbouwen van een organisatie delegeren aan een of meer individuen programma voor privacybeheer dat de naleving van lokale en nationale PII-wetten en -voorschriften versterkt.
Als algemene aanpak moeten organisaties periodieke trainingsprogramma's implementeren (ook tijdens de onboarding-fase) die specifiek aansluiten bij hun eigen algemene en onderwerpspecifieke privacybeschermingsbeleid en PIMS-gerelateerde vereisten.
Trainingsformaten kunnen zijn:
Personeel dat een gespecialiseerde rol speelt op het gebied van privacybescherming – bijvoorbeeld ICT-onderhoudspersoneel – moet profiteren van gespecialiseerde opleidingsplannen waarin rekening wordt gehouden met de integrale rol die zij spelen bij het beschermen van PII.
Trainingsplannen/sessies moeten worden afgesloten met een beoordeling die de organisatie een top-down overzicht geeft van de competentieniveaus per werknemer.
Als aanvulling op de training op de werkplek moeten organisaties ook bewustmakingsprogramma's voor privacybescherming uitrollen die hun personeel voorzien van een reeks materialen die fungeren als informatiepunten over het onderwerp PII en de privacybescherming van de organisatie.
Bewustmakingsprogramma's kunnen het volgende omvatten:
De bewustmakingsinspanningen moeten gericht zijn op:
PII moet worden behandeld als een afzonderlijk onderwerp binnen de trainingsprogramma's voor privacybescherming.
Het personeel moet zich scherp bewust worden gemaakt van de specifieke juridische, commerciële, reputatie- en disciplinaire gevolgen die voortvloeien uit het verduisteren en/of verkeerd omgaan met PII.
| AVG-artikel | ISO 27701-clausule | ISO 27701 Ondersteunende clausules |
|---|---|---|
| EU AVG Artikelen 39 (1)(a) tot 39 (2) | ISO 27701 6.3.1.1 | ISO 27701 7.3.2 |
| EU AVG Artikel 39, lid 1, onder b) | ISO 27701 6.4.2.2 | Geen |
Ondersteun bredere zakelijke beslissingen. Door al uw gegevens op één plek te hebben, ontworpen voor samenwerking, bent u beter in staat om de juiste beslissingen te nemen.
Blijf veranderingen voor. Risico's zijn niet statisch, dus uw tools moeten zich kunnen aanpassen. Pak bedreigingen en kansen moeiteloos aan met behulp van een geïntegreerde en dynamische tool die de identificatie, evaluatie en behandeling van risico's op continue basis vereenvoudigt.
Meer informatie via een demo inplannen.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
