25 mei 2020

De interne Data Protection Officer (DPO): een positie op losse schroeven?

25 mei 2020 doet misschien wel een belletje rinkelen. Het is namelijk twee jaar geleden dat de Algemene Verordening Gegevensbescherming, kortweg GDPR, zijn intrede maakte. Een forse wettekst die een aantal bestaande verplichtingen bevestigde, maar ook nieuwe regels en functies introduceerde, zoals de Data Protection Officer (DPO).

Aan bepaalde ondernemingen verplicht de GDPR om een Functionaris voor Gegevensbescherming (FG) – beter gekend als Data Protection Officer of DPO – aan te stellen. Dit geldt voor overheidsorganisaties en -organen (met uitzondering van juridische entiteiten) en organisaties die op grote schaal gegevens van betrokkenen verwerken. De DPO zelf kan je zien als de interne of externe toezichthouder op de naleving van de privacyverordening binnen jouw organisatie.

Benieuwd hoe jouw bedrijf scoort op vlak van Data Security? Doe onze gratis online scan.Doe de scan

DPO aanstellen: niet zonder ‘gevaar’

Of een DPO al dan niet verplicht is, wat zijn takenpakket precies inhoudt en hoe hij zijn positie dient te vervullen, werd intussen vastgelegd in dit kader. Als onderneming ben je vrij om een externe of interne (bv. een personeelslid) als DPO aan te duiden.

  • Het voordeel van een externe DPO is zijn onafhankelijkheid en objectieve blik op je onderneming. Gezien zijn ervaring hoef je hem ook niet bij te scholen in de (regelmatig geüpdatete) dataprotectiewetgeving. Het nadeel is zijn gebrek aan kennis van het reilen en zeilen van jouw organisatie, waarin je hem dus wél moet inleiden.
  • Het voordeel van een interne DPO is dat hij of zij je organisatie (en medewerkers) kent. Deze persoon hoeft deze functie niet voltijds op te nemen en mag dit – onder bepaalde voorwaarden – zelfs combineren met een andere functie. Maar in dat geval ontstaat wel een risico op belangenconflict.

 

Wie komt zeker niet in aanmerking?

In de richtlijnen van WP29 in de GDPR staat beschreven dat een DPO in geen geval taken mag vervullen die “de doeleinden en middelen van de gegevensverwerking binnen de onderneming kan bepalen”. Met andere woorden: managementposities (CEO, CFO, CTO …), IT- en hr-verantwoordelijken zijn volledig uit den boze.

Gevolg is dat veel bedrijven vandaag een afdelingshoofd van bijvoorbeeld Compliance of Legal als interne DPO aanstellen, omdat hij of zij al affiniteit heeft met het analyseren en toepassen van wetteksten. Helaas: de Gegevensbeschermingsautoriteit wil het nóg strikter.

 

De Proximus-case: een precedent?

In mei 2020 heeft de Belgische Gegevensbeschermingsautoriteit (GBA) Proximus een boete van 50.000 euro opgelegd voor een belangenconflict bij zijn Data Protection Officer. Die laatste was immers ook het afdelingshoofd van Compliance, Audit & Risk.

De GBA stelt dat het afdelingshoofd van Compliance, Audit & Risk ook eindverantwoordelijke kan zijn voor de verwerking van persoonsgegevens in het kader van Compliance-, Audit- en risico-activiteiten van een organisatie. Het concept ‘belangenvermenging’ wordt hier dus zeer strikt toegepast.

 

De implicaties?

Proximus kon in beroep gaan bij het Marktenhof, maar heeft aangekondigd de beslissing te respecteren en de functie van zijn DPO aan te passen. Toch roept deze case veel vragen op. Proximus werd gesanctioneerd op basis van een hypothetisch belangenconflict. Je kan je dus afvragen of een interne DPO überhaupt wel een goed idee is?

Een vast antwoord is er helaas (nog) niet. Afhankelijk van je bedrijf en activiteiten is een dubbelrol zeker toegelaten. Wij raden je alvast aan om het takenpakket van je DPO zeer uitgebreid te motiveren en in één beweging ook een stand-in DPO aan te duiden.

 

Conclusie: better safe than sorry

De invoering van de GDPR ligt intussen twee jaar achter ons. Het gebrek aan omkadering en controles in de beginmaanden deed de waakzaamheid bij veel bedrijven dalen. Maar de feiten spreken voor zich: intussen lopen steeds meer bedrijven tegen de lamp bij de GBA, of worden ze het slachtoffer van phishing. Een GDPR-proof data securitybeleid is urgenter dan ooit.

Lets talk data security_cropped

Benieuwd hoe jouw bedrijf scoort op vlak van Data Security? Doe onze gratis online scan.

Doe de scan

Gerelateerde artikelen

Groeien dankzij de samenwerking met onze accountancypartner
Slimme groei Optimaal beheer
08 december 2023

Groeien dankzij de samenwerking met onze accountancypartner

Familiebedrijf Govaere gaat terug tot 1921, toen Leon Govaere startte met een eenmanszaak. Vandaag voert de bouwonderneming projecten uit over ...

Lees meer
Goed ondernemersadvies
Slimme groei Optimaal beheer
06 december 2023

Goed ondernemersadvies "remt je ook af wanneer het nodig is": Viandybel in de kijker

De oprichters noemen zich "geen papier- en cijfermensen". Zonder zicht op de papieren en de cijfers kun je echter neit optimaal ondernemen. Daarom ...

Lees meer
Aandelenopties als vorm van loonoptimalisatie voor key werknemers
Slimme groei Optimaal beheer Tax
29 november 2023

Aandelenopties als vorm van loonoptimalisatie voor key werknemers

Hoe behoud je talent in een periode waarin de war for talent heviger woedt dan ooit tevoren? Hoe zorg je ervoor dat vooral key werknemers duurzaam ...

Lees meer