Laatst geüpdatet op mei 6, 2024
De Algemene Verordening Gegevensbescherming (AVG) bevat heel strenge eisen. Als je niet aan die vereisten voldoet, kan je torenhoge boetes krijgen die op kunnen lopen tot € 20 miljoen of tot 4% van de wereldwijde jaaromzet.
Eén van de eisen als je veel persoonsgegevens verwerkt, is dat je een DPO, ofwel een Data Protection Officer (In het Nederlands: Functionaris voor de Gegevensbescherming) dient aan te stellen.
Maar wanneer dien je precies een DPO aan te stellen? En wat doet een DPO eigenlijk? In dit artikel vertellen we je er alles over. Zo weet jij na het lezen van dit blogartikel alles wat je moet weten over de DPO.
Ook interessant:
Wat is een DPO?
DPO staat voor Data Protection Officer. Een DPO is iemand die verantwoordelijk is voor het adviseren van een organisatie over de verwerking van persoonlijke gegevens en het waarborgen van de naleving van de toepasselijke gegevensbeschermingswetten.
Binnen de Europese Unie is dit de Algemene Verordening Gegevensbescherming (AVG).
Een DPO is ook het aanspreekpunt voor de Autoriteit Persoonsgegevens op het moment dat er overleg plaatsvindt tussen jouw bedrijf en de Autoriteit Persoonsgegevens. Ook helpt de DPO bij het uitvoeren van een “DPIA”. We vertellen verderop in het artikel wat een DPIA is.
Wat zijn de taken van een DPO?
Een Data Protection Officer (DPO) is verantwoordelijk voor een verscheidenheid aan taken. De DPO houdt zich bezig met:
- Adviseren: adviseert en informeert de organisatie, de verwerkingsverantwoordelijke en de verwerker over de verplichtingen van de organisatie onder de toepasselijke gegevensbeschermingswetten, zoals de Algemene Verordening Gegevensbescherming (AVG).
- Bewaken van de naleving van gegevensbeschermingswetten: bewaakt de naleving van de gegevensbeschermingswetten door de organisatie en adviseert over maatregelen die nodig zijn om de naleving te waarborgen.
- Beoordelen en bewaken van gegevensbeschermingsrisico’s: beoordeelt de risico’s die gepaard gaan met de verwerking van persoonlijke gegevens en adviseert over maatregelen om deze risico’s te verminderen.
- Fungeren als contactpunt: fungeert als contactpunt voor individuen, toezichthoudende autoriteiten en andere belanghebbenden met betrekking tot vragen over gegevensbescherming en de verwerking van persoonlijke gegevens.
- Uitvoeren van audits: voert audits uit om ervoor te zorgen dat de organisatie voldoet aan de toepasselijke gegevensbeschermingswetten en om eventuele zwakke punten in de gegevensbescherming te identificeren.
- Toezien op gegevensbeschermingsimpactbeoordelingen (DPIA’s): houdt toezicht op DPIA’s en adviseert over maatregelen die nodig zijn om de risico’s van gegevensverwerking te verminderen.
- Bewustzijn creëren: helpt bij het creëren van bewustzijn binnen de organisatie over gegevensbescherming en het belang van gegevensbescherming.
- Rapporteren: rapporteert aan het hoogste niveau van de organisatie, zoals de raad van bestuur of de directie, over de naleving van gegevensbeschermingswetten en de effectiviteit van de geïmplementeerde maatregelen.
Wat is een DPIA?
Een DPIA is een Data Protection Impact Assessment. Dit komt neer op een gegevensbeschermingsimpactbeoordeling. Sommige bedrijven zijn wettelijk verplicht om een deze beoordeling uit te voeren.
De DPO kan je ondersteunen bij het uitvoeren van een DPIA.
In de volgende situatie ben je bijvoorbeeld verplicht om een DPIA te doen:
- Als je bijzondere persoonsgegevens verwerkt; – Als je profielen van mensen opstelt en je vervolgens door geautomatiseerde software laat beslissen over de vraag of jij met iemand een contract aangaat;
- Als je op een andere risicovolle manier persoonsgegevens verwerkt. Hiervan kan bijvoorbeeld sprake zijn als je veel nieuwe technologie gebruikt. Denk hierbij bijvoorbeeld aan de situatie dat apparaten zijn aangesloten op het internet (‘het Internet of Things’).
Het is niet altijd makkelijk te bepalen of je op een risicovolle manier persoonsgegevens verwerkt. Wil je advies van een privacyrecht advocaat? Neem contact op met Ligo en vraag naar de mogelijkheden van telefonische consulten.
Een DPO aanstellen: wanneer moet je dat doen?
Iedere ondernemer mag een DPO aanstellen. Dit kan handig zijn, omdat een DPO helpt om aan de AVG te voldoen. Door een DPO aan te stellen, verklein je dan ook de risico’s.
Soms ben je echter verplicht een DPO aan te stellen. Maar wanneer is dit precies het geval?
Je bent verplicht om een DPO aan te stellen in de volgende situaties:
- Je monitort bepaalde mensen of persoonsgegevens van bepaalde mensen. Denk bijvoorbeeld aan het in de gaten houden van de hartslag van mensen met een slimme hartslagmeter. Ook het indelen van mensen in verschillende groepen en het op basis daarvan nemen van geautomatiseerde besluiten valt in deze categorie.
- Ook dien je een DPO aan te stellen wanneer je bijzondere persoonsgegevens verwerkt. Weet je niet helemaal meer wat bijzondere persoonsgegevens ook alweer zijn? Lees dit terug in onze bijzondere persoonsgegevens.
Is het aanstellen van een DPO verplicht?
Het aanstellen van een DPO is verplicht voor sommige bedrijven die persoonsgegevens verwerken onder de Algemene Verordening Gegevensbescherming (AVG) in de Europese Unie. De verplichting om een DPO aan te stellen is afhankelijk van de aard, omvang en/of doeleinden van de gegevensverwerking.
Bedrijven die niet verplicht zijn om een DPO aan te stellen, kunnen er wel voor kiezen om vrijwillig een DPO aan te stellen om te zorgen voor een goede naleving van de gegevensbeschermingswetten en om het vertrouwen van klanten te winnen.
Hoe kan ik mijn organisatie AVG-proof maken?
De AVG is een heel ingrijpende nieuwe privacywet. Als je je er niet houdt, kan je bovendien erg hoge boetes krijgen. We kunnen dus niet genoeg benadrukken hoe belangrijk het is dat je jezelf aan deze nieuwe Europese privacywet houdt. Maar hoe kan je dit het beste doen?
- Je kan een advocaat inschakelen: Het voordeel van deze optie is dat je verzekerd bent dat je AVG-proof bent, indien je de instructies van de advocaat opvolgt. Het nadeel van deze optie is dat dit honderden dan wel duizenden euro’s kan gaan kosten.
- Je kan jouw onderneming zelf AVG-proof maken: Het voordeel van deze optie is dat dit geheel kosteloos kan. Verder hoef je ook niet je huis te verlaten. Het nadeel is dat je niet verzekerd bent dat wat je doet ook juridisch correct is. Bovendien ben je waarschijnlijk ontzettend veel tijd kwijt aan het uitvogelen en doorvoeren van alle noodzakelijke aanpassingen.
- Je kan je bij Ligo aansluiten: Bij Ligo ben je ervan verzekerd dat alle juridische documenten in de database op tijd aan de AVG zullen worden aangepast. Hiernaast helpen we je met een AVG-scan en een AVG-stappenplan. Verder kan je als member onbeperkt vragen indienen over de AVG bij onze specialistische advocaten. Hierdoor weet jij straks ruim voor 25 mei 2018 of je een DPIA moet uitvoeren en of je een functionaris gegevensbescherming nodig hebt!
Happy entrepreneuring!
- Het recht op privacy in de AVG: waar hebben betrokken personen recht op? - maart 5, 2023
- Bijzondere persoonsgegevens: wat zijn het en waar moet je op letten? - maart 4, 2023
- Wanneer mag je persoonsgegevens verwerken? - maart 2, 2023