Wat doet een Data Protection Officer (DPO)?
In Nederland zijn organisaties in bepaalde situaties verplicht een Data Protection Officer (DPO) aan te stellen. Een DPO of functionaris gegevensbescherming (FG) is iemand die binnen de organisatie toezicht houdt op de naleving van de Algemene verordening gegevensbescherming (AVG). Vanuit de wet worden er duidelijke eisen gesteld aan de positionering van een Data Protection Officer. Wil je een DPO aanstellen? Of ambieer je deze functie? Dan is het handig om te weten wat een Privacy Officer doet in een organisatie?
Kennisniveau
Van een DPO wordt verwacht dat hij of zij bovengemiddelde vakkennis heeft van de AVG, van de praktijk van databeveiliging en van de betreffende organisatie. Kennis van nationale en Europese privacywet- en regelgeving over gegevensbescherming is een vereiste. Hij of zij moet dus voor een goed overzicht van de betreffende informatie eerst informatie verzamelen, want kennis van de organisatie en de sector waarin die actief is, is van essentieel belang. Welke gegevens verwerkt de organisatie? En hoe is de bescherming van deze gegevensverwerkingen geregeld? Daarnaast kan de DPO door middel van een privacyscan onder medewerkers belangrijke informatie verzamelen over de omgang met persoonsgegevens op de werkvloer. Denk hierbij aan vragen over de bescherming van persoonsgegevens, applicaties die worden gebruikt voor bijvoorbeeld videoconferencing, privacybeleid, het herkennen van phishing, het wachtwoordbeleid en datalekken.
Kerntaken van de Data Protection Officer samengevat
- Adviseren (gevraagd en ongevraagd)
- Toezien op naleving van de AVG
- Samenwerking met en contactpunt van de Autoriteit Persoonsgegevens
- Optreden als contactpunt voor betrokkenen
Advies
Op grond van de verzamelde informatie gaat de DPO deze verwerkingen analyseren en beoordelen of ze aan de wet voldoen. Vervolgens wordt er advies gegeven. Het is van essentieel belang dat hij of zij onafhankelijk kan toezien op de naleving van de AVG in de betreffende organisatie en rekening moet houden met de volgende zaken:
- Hij of zij mag geen instructies ontvangen van de verwerkingsverantwoordelijke over de manier waarop er advies wordt uitgebracht of over de uitvoering van zijn/haar taken.
- Ook mag hij/zij geen taken of plichten uitvoeren die in strijd zijn met zijn eigen taken als interne toezichthouder. Er mag geen belangenconflict ontstaan.
- Onafhankelijkheid van de DPO is erg belangrijk.
- Een DPO heeft dezelfde ontslagbescherming als leden van een ondernemingsraad. Hij of zij mag bijvoorbeeld niet ontslagen worden, vanwege het uitbrengen van een advies waarmee de leidinggevende het niet mee eens is.
Zichtbaar
Een Data Protection Officer moet zichtbaar zijn. Medewerkers en andere betrokkenen moeten hem of haar op een eenvoudige manier kunnen bereiken. Heldere communicatie aan alle medewerkers over de benoeming van de DPO mag niet ontbreken.
Wil je Data Protection Officer worden?
Wil je een carrièreswitch maken? Of wil je een praktische verdieping in je werk? Vergroot je kennis en vaardigheden die horen bij deze functie met een online training. Praktisch, flexibel, persoonlijke aandacht tijdens én na de training, certificaat, direct toepasbaar en makkelijk te combineren met je huidige baan.
Voor elke branche een eigen DPO-training met herkenbare casussen:
