Logo
  • Achtergrond
  • 21 maart 2017
  • Iron Mountain

Welke kwaliteiten moet een Data Protection Officer (DPO) bezitten?

In heel Europa bereiden organisaties zich voor op de nieuwe AVG van de EU die in 2018 in werking treedt. De AVG, in het leven geroepen ter bescherming van persoonlijke informatie in een groeiende digitale wereld, maakt het voor Europese burgers mogelijk om zelf te bepalen wanneer, hoe en aan wie hun persoonlijke informatie geopenbaard wordt en hoe deze gegevens gebruikt kunnen worden.
Beeld Welke kwaliteiten moet een Data Protection Officer (DPO) bezitten?

Heb ik een DPO nodig, waar zoek ik naar en wat gaat hij/zij doen?

De AVG heeft ingrijpende gevolgen voor organisaties. Afgezien van de zware boetes voor niet-naleving worden organisaties verplicht om formele verantwoordelijkheid en hiërarchische bevelslijnen in te stellen. Veel multinationals hebben al een Chief Privacy Officer of Chief Data Privacy Officer. Wanneer de wetgeving ingaat, worden sommige van deze functies vervangen door de formele functie van Data Protection Officer (DPO).

Wie moet een DPO aanstellen?

Organisaties die werkzaam zijn binnen de EU moet een DPO aanstellen als ze:

  • overheidsinstanties , -agentschappen of soortgelijke instellingen zijn;
  • persoonsgegevens verwerken welke op grond van de aard, omvang en/of doel, regelmatig en systematisch op grote schaal controle van de betrokkenen vereisen;
  • bepaalde bijzondere categorieën van persoonlijke gegevens verwerken of gegevens die te maken hebben met strafrechtelijke veroordelingen en misdrijven.

Mogelijk gaan sommige EU lidstaten hun nationale DPO vereisten breder invoeren. De grotere bedrijven die werkzaam zijn in de EU zullen er veelal voor kiezen om hoe dan ook een DPO aan te stellen, zelfs als ze dat formeel niet verplicht zijn. Het is immers het meest praktische en kostenefficiënte middel om te waarborgen dat ze voldoen aan de AVG. De DPO kan een interne of externe kandidaat zijn en hij of zij is vrij om andere taken uit te voeren mits er geen belangenverstrengeling is en hij/zij de tijd heeft om te voldoen aan zijn/haar verplichtingen als DPO.

Wat doet een DPO?

De DPO moet een balans zien te vinden tussen de rol van een vertrouwde adviseur van het bedrijf en die van een interne politieagent. De DPO moet hiervoor een aantal taken uitvoeren, met inbegrip van:

  • het informeren en adviseren van managers en medewerkers die betrokken zijn bij gegevensverwerking over hun verplichtingen in het kader van de AVG en andere gegevensbeschermingswetten;
  • controle op het naleven van de AVG en andere gegevensbeschermingswetten die van toepassing zijn, evenals de naleving van intern geldende beleidsmaatregelen en procedures rond databescherming;
  • advisering over databescherming impact assesments;
  • samenwerken met, fungeren als aanspreekpunt voor, en indien nodig overleggen met de toezichthoudende autoriteiten.

Over welke kwalificaties en ervaring moet een DPO beschikken?

De AVG vereist dat de DPO professionele kwaliteiten en deskundige kennis bezit van databescherming in wetgeving en de praktijk. Daartoe behoren in normaalgesproken:

  • technische en organisatorische maatregelen en procedures;
  • het beheersen van technische voorschriften voor gegevensbescherming by design, default en databeveiliging;
  • branchespecifieke kennis conform de grootte van databeheerder of -verwerker of de gevoeligheid van de persoonlijke gegevens die worden verwerkt;
  • de capaciteiten om inspecties consultaties, documentaties en log file analyses uit te voeren;
  • het vermogen effectief te werken met vertegenwoordigers van de medewerkers.

Er zijn geen specifieke taalvereisten, maar multinationals willen waarschijnlijk een Engelssprekende DPO. Zelfs als uw organisatie niet formeel verplicht is een DPO aan te stellen, betekent dat niet dat u niet zult worden beïnvloed door de nieuwe regelgeving. U zult u nog steeds aan de nieuwe regels moeten houden en er moet een voldoende gekwalificeerd persoon aanwezig zijn om ervoor te zorgen dat uw organisatie aan de eisen van de AVG voldoet.

Iron Mountain (NYSE: IRM) is wereldleider op het gebied van informatiebeheer en archiefopslag. De diensten die Iron Mountain biedt op het gebied van papieren en digitale informatiestromen, doen de kosten, risico´s en inefficiënties van klanten drastisch dalen.

Producttips