De algemene verordening gegevensbescherming (AVG) spreekt veel over verantwoording en bestuur, waardoor organisaties transparanter moeten zijn over wat zij met persoonlijke gegevens doen.
“Er wordt van u verwacht dat u alomvattende maar proportionele bestuursmaatregelen implementeert. Tools voor goede praktijken waar de ICO al heel lang voor pleit, zoals privacy-impactbeoordelingen en privacy by design zijn nu onder bepaalde omstandigheden wettelijk verplicht.
“Kantoor van de informatiecommissaris”
Deze verantwoordelijkheid en governance vereisen dat bepaalde grotere organisaties een Data Protection Officer (DPO) in dienst hebben om toezicht te houden op deze praktijken.
Het in dienst nemen van een DPO zou uiteraard niet voor alle organisaties geschikt zijn. Daarom heeft het Information Commissioner's Office de noodzaak van een DPO samengevat in de volgende categorieën.
Hoewel bovengenoemde organisaties wettelijk verplicht zijn een DPO aan te stellen, willen sommige bedrijven er misschien vrijwillig een aanstellen.
Een DPO wordt beschouwd als een beveiligingsrol binnen de onderneming, die leiding geeft aan de naleving van de AVG van een organisatie.
De minimale taken van de DPO zijn gedefinieerd in artikel 39 van de AVG:
'Het informeren en adviseren van de organisatie en haar medewerkers over hun verplichtingen om onder meer aan de AVG te voldoen gegevensbescherming wetten.'
'Om toezicht te houden op de naleving van de AVG en andere wetten op gegevensbescherming, inclusief het beheren van interne gegevensbeschermingsactiviteiten, adviseren over gegevensbeschermingseffectbeoordelingen; personeel opleiden en interne audits uitvoeren.'
'Het zijn van het eerste aanspreekpunt voor toezichthouders en voor personen van wie gegevens worden verwerkt (werknemers, klanten etc.).'
Naast deze taken moet de DPO ervoor zorgen dat zij rapporteren op bestuursniveau, of op welk hoogste niveau van uw organisatie dan ook. In feite opereren zij onafhankelijk van de organisatie als geheel en moeten als zodanig hun werkgelegenheid beschermd worden. Dit betekent dat ze niet kunnen worden ontslagen of gestraft omdat ze simpelweg het werk van een DPO doen. Daarnaast moet de organisatie de functionaris voor gegevensbescherming voorzien van alle middelen die hij nodig heeft om aan de bovengenoemde verantwoordelijkheden en taken te voldoen.
Hoewel er geen formele kwalificaties zijn om een DPO te worden, moet de juiste kandidaat over bepaalde kwaliteiten en kennis beschikken, hoewel we wel een aantal officiële trainingen over de AVG zelf hebben gedocumenteerd op onze AVG-bronnenpagina.
De DPO moet over bewezen integriteit en een hoge beroepsethiek beschikken om ervoor te kunnen zorgen dat een organisatie voorbereid is op de AVG en deze vervolgens blijft toepassen.
Een praktijkgerichte sessie op maat, afgestemd op uw wensen en doelstellingen
100% van onze gebruikers behaalt de eerste keer de ISO 27001-certificering