25 mei 2020 doet misschien wel een belletje rinkelen. Het is namelijk twee jaar geleden dat de Algemene Verordening Gegevensbescherming, kortweg GDPR, zijn intrede maakte. Een forse wettekst die een aantal bestaande verplichtingen bevestigde, maar ook nieuwe regels en functies introduceerde, zoals de Data Protection Officer (DPO).
Aan bepaalde ondernemingen verplicht de GDPR om een Functionaris voor Gegevensbescherming (FG) – beter gekend als Data Protection Officer of DPO – aan te stellen. Dit geldt voor overheidsorganisaties en -organen (met uitzondering van juridische entiteiten) en organisaties die op grote schaal gegevens van betrokkenen verwerken. De DPO zelf kan je zien als de interne of externe toezichthouder op de naleving van de privacyverordening binnen jouw organisatie.
Benieuwd hoe jouw bedrijf scoort op vlak van Data Security? Doe onze gratis online scan.
DPO aanstellen: niet zonder ‘gevaar’
Of een DPO al dan niet verplicht is, wat zijn takenpakket precies inhoudt en hoe hij zijn positie dient te vervullen, werd intussen vastgelegd in dit kader. Als onderneming ben je vrij om een externe of interne (bv. een personeelslid) als DPO aan te duiden.
- Het voordeel van een externe DPO is zijn onafhankelijkheid en objectieve blik op je onderneming. Gezien zijn ervaring hoef je hem ook niet bij te scholen in de (regelmatig geüpdatete) dataprotectiewetgeving. Het nadeel is zijn gebrek aan kennis van het reilen en zeilen van jouw organisatie, waarin je hem dus wél moet inleiden.
- Het voordeel van een interne DPO is dat hij of zij je organisatie (en medewerkers) kent. Deze persoon hoeft deze functie niet voltijds op te nemen en mag dit – onder bepaalde voorwaarden – zelfs combineren met een andere functie. Maar in dat geval ontstaat wel een risico op belangenconflict.
Wie komt zeker niet in aanmerking?
In de richtlijnen van WP29 in de GDPR staat beschreven dat een DPO in geen geval taken mag vervullen die “de doeleinden en middelen van de gegevensverwerking binnen de onderneming kan bepalen”. Met andere woorden: managementposities (CEO, CFO, CTO …), IT- en hr-verantwoordelijken zijn volledig uit den boze.
Gevolg is dat veel bedrijven vandaag een afdelingshoofd van bijvoorbeeld Compliance of Legal als interne DPO aanstellen, omdat hij of zij al affiniteit heeft met het analyseren en toepassen van wetteksten. Helaas: de Gegevensbeschermingsautoriteit wil het nóg strikter.
De Proximus-case: een precedent?
In mei 2020 heeft de Belgische Gegevensbeschermingsautoriteit (GBA) Proximus een boete van 50.000 euro opgelegd voor een belangenconflict bij zijn Data Protection Officer. Die laatste was immers ook het afdelingshoofd van Compliance, Audit & Risk.
De GBA stelt dat het afdelingshoofd van Compliance, Audit & Risk ook eindverantwoordelijke kan zijn voor de verwerking van persoonsgegevens in het kader van Compliance-, Audit- en risico-activiteiten van een organisatie. Het concept ‘belangenvermenging’ wordt hier dus zeer strikt toegepast.
De implicaties?
Proximus kon in beroep gaan bij het Marktenhof, maar heeft aangekondigd de beslissing te respecteren en de functie van zijn DPO aan te passen. Toch roept deze case veel vragen op. Proximus werd gesanctioneerd op basis van een hypothetisch belangenconflict. Je kan je dus afvragen of een interne DPO überhaupt wel een goed idee is?
Een vast antwoord is er helaas (nog) niet. Afhankelijk van je bedrijf en activiteiten is een dubbelrol zeker toegelaten. Wij raden je alvast aan om het takenpakket van je DPO zeer uitgebreid te motiveren en in één beweging ook een stand-in DPO aan te duiden.
Conclusie: better safe than sorry
De invoering van de GDPR ligt intussen twee jaar achter ons. Het gebrek aan omkadering en controles in de beginmaanden deed de waakzaamheid bij veel bedrijven dalen. Maar de feiten spreken voor zich: intussen lopen steeds meer bedrijven tegen de lamp bij de GBA, of worden ze het slachtoffer van phishing. Een GDPR-proof data securitybeleid is urgenter dan ooit.
Benieuwd hoe jouw bedrijf scoort op vlak van Data Security? Doe onze gratis online scan.
