Consultant DPO - Mr. Franklin - jouw expert
Een DPO speelt een cruciale rol binnen een onderneming bij het toezien op de naleving van de GDPR. Soms is het aanstellen van een DPO zelfs verplicht. Bij Mr. Franklin kan je terecht voor al jouw vragen rond de GDPR en DPO-consultancy op maat.
Wat is een DPO?
GDPR
Sinds 25 mei 2018 is de General Data Protection Regulation (GDPR) van kracht binnen de Europese lidstaten. In het Nederlands spreekt men ook wel van de AVG (Algemene Verordening Gegevensbescherming). Het gaat om een Europese verordening die moet zorgen voor een betere bescherming van de privacy van Europese burgers.
De regelgeving is rechtstreeks gericht aan alle ondernemingen uit verschillende sectoren, verenigingen en overheden binnen het Europees grondgebied die zich bezighouden met de verwerking van persoonsgegevens. Ook bedrijven die zich buiten de EU bevinden moeten zich soms houden aan de wettelijke verplichtingen.
Een aantal van de belangrijkste verplichtingen uit de GDPR zijn het bijhouden van een verwerkingsregister, het melden van datalekken aan de bevoegde autoriteit en het voorzien van de correcte motivering wanneer persoonlijke gegevens worden verzameld of verwerkt. Een bedrijf mag namelijk niet zomaar op grote schaal aan gegevensverwerking doen, maar moet hiervoor een beroep doen op een wettelijke verwerkingsgrond.
Op deze website vind je een overzicht van de Nederlandse wettekst van de GDPR met al haar verplichtingen. Mr. Franklin staat je bovendien graag bij als GDPR-consultant en beantwoordt al jouw vragen rond deze relatief nieuwe privacyverordening.
Data Protection Officer
Een DPO staat voor Data Protection Officer, ook wel de functionaris voor gegevensbescherming genoemd. Een DPO is een onafhankelijke persoon die toeziet op de naleving van de GDPR binnen een onderneming. Deze persoon zorgt er met andere woorden voor dat jouw bedrijf conform de GDPR handelt.Â
Dit is erg belangrijk, aangezien inbreuken op de GDPR gesanctioneerd kunnen worden door de Gegevensbeschermingsautoriteit. Deze kan boetes opleggen aan ondernemingen die aan hun GDPR-plichten verzuimen. Deze administratieve geldboetes kunnen hoog oplopen, tot maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet van de onderneming, naargelang welk bedrag het hoogste is.
Externe of interne DPO?Â
Sommige bedrijven kiezen voor een interne DPO. Toch is het in veel gevallen sterk aan te raden om te kiezen voor een externe DPO. Dit brengt namelijk een aantal voordelen met zich mee. Zo neemt een externe DPO een meer onafhankelijke positie in en is er dus minder kans op belangenvermenging. Daarnaast win je door het aanstellen van een externe DPO meer vertrouwen in bij de personen wiens gegevens door de onderneming verwerkt worden. Leveranciers, klanten enzovoort zullen meer vertrouwen hebben in een externe toezichthoudende instantie.Â
Bij een interne DPO is er namelijk sprake van een bestaande machtsverhouding tussen de werkgever en de DPO als aangestelde werknemer. Daardoor is de DPO per definitie minder onafhankelijk. Bij een interne DPO zal sneller de assumptie gemaakt worden dat de belangen van de onderneming voorgaan op de belangen van de betrokkenen wiens persoonsgegevens verwerkt worden. Dit resulteert in een kleiner vertrouwen in de DPO, alsook in de onderneming. Een ander groot nadeel aan een interne DPO is dat deze niet ontslagen kan worden omwille van de uitvoering van de de taak als DPO. De werknemer-DPO geniet dus een zekere ontslagbescherming, terwijl de opzeggingsmogelijkheden bij een externe DPO heel wat groter zijn.
Is een DPO verplicht?
In sommige gevallen bepaalt de GDPR dat het aanstellen van een DPO verplicht is. Men onderscheidt volgende situaties in de wet:
Verwerking van de persoonsgegevens door een overheid (overheidsinstantie). Het begrip overheidsinstanties moet hier heel ruim worden ingevuld. Zo moeten ook alle dienstverleners van de overheid een DPO aanstellen, alsook alle organisaties die persoonsgegevens verwerken en samenwerken met een overheidsinstantie.
Regelmatige en stelselmatige ‘observatie’ van persoonsgegevens. Observatie houdt in dat er controles worden uitgevoerd op het gedrag van de personen wiens persoonsgegevens verwerkt worden. Het omvat alle vormen van opsporing en profilering op het internet. Denk bijvoorbeeld aan bewakingsfirma’s of beroepen die in aanraking komen met gerechtelijke of strafrechtelijke gegevens.
De grootschalige verwerking van sommige categorieën gegevens. Bij speciale of bijzondere categorieën van persoonsgegevens die op grote schaal worden verwerkt is het aanstellen van een DPO ook verplicht. Hiermee worden gevoelige gegevens geviseerd zoals geloofsovertuiging, ras of etnische afkomst, politieke of seksuele voorkeur enzovoort. In principe is de verwerking van dergelijke persoonsgegevens zelfs verboden. De wet omvat hier echter een aantal uitzonderingen, bijvoorbeeld de verwerking na de vrijwillige en schriftelijke toestemming van de betrokkene. Grootschalige verwerking houdt in dat een aanzienlijke hoeveelheid persoonsgegevens op regionaal, nationaal of supranationaal niveau worden verwerkt.
DPO as a service
Mr. Franklin heeft drie gecertificeerde DPO’s in huis die kunnen optreden als externe DPO’s binnen jouw bedrijf. Onze gespecialiseerde DPO’s werden al aangesteld binnen tal van sectoren, zoals IT-ondernemingen, bedrijven binnen de zorgsector, online advertentiebedrijven, SaaS-platformen...Â
Door het aanstellen van een van onze consultants binnen jouw onderneming ben je zeker dat jouw bedrijf conform de GDPR handelt. Een groot voordeel is hier dat onze DPO’s reeds een grondige opleiding én ervaring genoten, iets wat een interne DPO niet heeft. Hierdoor kan jij met een gerust hart verder gaan met de dagdagelijkse gang van zaken binnen jouw onderneming.
Data Protection Impact Assessment
Wat is een DPIA?
Een Data Protection Impact Assessment - kortweg een DPIA - is een doorlichting van een applicatie, online platform of een andere specifieke verwerkingsactiviteit, waarbij de privacy- en informatieveiligheidsrisico’s in kaart worden gebracht. Er wordt een analyse gemaakt en gekeken waar er eventueel verbetering nodig is. De risico’s kunnen daarna aangepakt worden, zodat jouw onderneming op een betere en veiligere manier omspringt met de verwerking van persoonsgegevens. Er wordt dus gekeken naar de GDPR-conformiteit.
Strikt genomen is een DPIA verplicht onder de GDPR bij iedere nieuwe gegevensverwerking die implicaties voor de privacy van betrokkenen kan veroorzaken. De GBA stelde ook een lijst met activiteiten op waarbij een DPIA verplicht is. Of er al dan niet een DPIA verplicht is zal dus van situatie tot situatie afhangen. Mr. Franklin heeft hier kennis van zaken en kan voor jou een inschatting maken en adviseren om al dan niet een DPIA uit te voeren.
DPIA-audit
Mr. Franklin biedt zelf ook DPIA-audits aan, waarbij eventueel risicovolle verwerkingen van persoonsgegevens doorgelicht zullen worden en er concrete aanbevelingen worden gedaan, zowel op vlak van privacy als security. Er wordt naar de GDPR-conformiteit gekeken, alsook de ISO27001-normen.