Contact

Blog Identiteit & veiligheid Monitoring & compliancy


Met nieuwe regels van de GDPR wordt het voor een groot aantal ondernemingen verplicht om een interne toezichthouder voor de verwerking van persoonsgegevens aan te stellen. Deze toezichthouder heet een Data Protection Officer (DPO) en moet toezicht houden op de toepassing en de naleving van de privacywet.

In de huidige Wet bescherming persoonsgegevens (Wbp) kon je er voor kiezen om al een DPO aan te stellen. Met de regels van de GDPR is deze functie verder uitgebreid en kent het meer verplichtingen.

Wanneer DPO aanstellen?

Niet elke organisatie hoeft een DPO aan te stellen. Echter zal het er in de praktijk op neer komen dat een groot aantal dit wel moet doen. Organisaties die aan de volgende criteria voldoen zijn verplicht om een DPO aan te stellen:

  • Organisaties die op grote schaal persoonsgegevens verwerken;
  • Overheidsinstanties en publieke organisaties: daaronder vallen ook scholen en zorginstellingen.

Wat zijn de taken van een DPO?

De meest voorkomen werkzaamheden van een DPO zijn:

  • Toezicht houden op de bescherming van gegevens;
  • Melden van gegevensverwerking;
  • Inventarisaties van gegevensverwerkingen verzamelen;
  • Creëren van privacy-bewustzijn in de organisatie;
  • Afhandelen van interne- en externe klachten;
  • Ontwikkelen en bijhouden van interne regelingen;
  • Adviseren over technologie en beveiliging (privacy by design);
  • Adviseren over opstellen of aanpassen van een gedragscode.

Voorwaarden

Vanuit de GDPR moet de DPO aan een aantal voorwaarden voldoen:

  • Het moet een natuurlijk persoon zijn. Dit mag dus geen raad of commissie zijn;
  • Deze persoon moet voldoende kennis hebben van de organisatie en de privacywetgeving;
  • Hij of zij moet betrouwbaar zijn en zich confirmeren aan een geheimhoudingsplicht.

Bevoegdheden

Een DPO heeft geen formele bevoegdheid om sancties op te leggen. Daarentegen heeft hij wel weer wettelijke controlebevoegdheden: hij mag zaken onderzoeken, informatie en inzage vragen en ruimtes betreden. De DPO moet zijn taken in onafhankelijkheid kunnen uitvoeren.

Een DPO heeft dezelfde ontslagbescherming als leden van een ondernemingsraad hebben. Ontslag is pas mogelijk na toestemming van een kantonrechter.

Wie kan DPO worden?

In principe kan ieder personeelslid DPO worden als hij voldoet aan de eisen. Echter mag hij geen conflicterende belangen hebben binnen de organisatie. Denk hierbij aan een CEO, CFO of andere aansturende functie. Maar ook werknemers die zelf inhoudelijk betrokken zijn bij het verwerken van gegevens kunnen conflicterende belangen hebben en mogen niet tot DPO worden benoemd.

Een DPO hoeft overigens helemaal niet vanuit de interne organisatie te komen. Op basis van een dienstverleningsovereenkomst kan een extern persoon of organisatie ook worden benoemd tot DPO. Hierbij moet deze uiteraard wel voldoen aan de hierboven genoemde eisen.

Bekendmaken

Als je een DPO hebt aangewezen dan moet je deze bekendmaken binnen en buiten de organisatie. Dit dus ook naar de personen van wie jij persoonsgegevens verwerkt door de DPO te vermelden in jouw privacyverklaring [link naar blog Privacyverklaring]. Uiteraard moet de DPO ook worden doorgegeven aan de Autoriteit Persoonsgegevens.

Veilig opslaan van gegevens

Of je klantgegevens nou opslaat in de publieke, private of hybride cloud, je gegevens moeten veilig worden opgeslagen. Kwaadwillenden mogen niet bij klantgegevens kunnen komen. Er zijn verschillende manieren om gegevens te beschermen en toch overal beschikbaar te hebben. ITON heeft daarvoor de kennis in huis. Wil je hier meer over weten? Neem dan contact [link] met ons op of vul onderstaand contactformulier in en wij nemen contact met jou op.


Laat je gegevens achter en wij nemen contact met je op.

Wil je teruggebeld worden?