top of page

De rol van de DPO bij het verwerkingsregister

De rol van de DPO bij het verwerkingsregister

Wat is de rol van de DPO bij het verwerkingsregister?


De Data Protection Officer (DPO) houdt zich in praktijk vaak bezig met het bijhouden van het register van verwerkingsactiviteiten en het opstellen van inventarissen. Nochtans worden deze taken niet expliciet opgelegd aan de DPO in de GDPR. Mr. Franklin legt uit welke verplichtingen de GDPR oplegt en wat de verschillende taken van een DPO inhouden.


Wat is de GDPR?


General Data Protection Regulation (GDPR)


De General Data Protection Regulation (GDPR), ook wel de Algemene Verordening Gegevensbescherming (AVG) genoemd, is een Europese privacyverordening die sinds 25 mei 2018 van kracht is binnen de Europese Unie. 


De GDPR is van toepassing op ondernemingen en overheidsinstanties binnen de Europese Unie die in aanraking komen met de verwerking van persoonsgegevens. Het toepassingsgebied van de verordening is heel ruim, waardoor ook werkgevers en zelfstandigen rekening moeten houden met deze wet.


Wat zijn persoonsgegevens?


Persoonsgegevens (persoonlijke gegevens) zijn alle gegevens die betrekking hebben op een geïdentificeerde of identificeerbare levende natuurlijke persoon. Het begrip krijgt hier een erg ruime invulling. Zo vallen bijvoorbeeld iemands naam, adres, e-mailadres, telefoonnummer, geslacht en medische gegevens onder de noemer persoonsgegevens. 


Door die ruime invulling wordt duidelijk dat heel wat bedrijven rekening zullen moeten houden met de GDPR-verplichtingen aangezien zij al snel onder het toepassingsgebied vallen.


Het doel van de GDPR is om een aantal verplichtingen op te leggen aan verwerkers van persoonsgegevens. Zo wil de wet de persoonsgegevens van Europese burgers en de bescherming van hun persoonlijke levenssfeer beter te waarborgen.


Sanctionering


Bedrijven die de regels van de GDPR-regels aan hun laars lappen of deze onzorgvuldig naleven, lopen het risico om gesanctioneerd te worden. Bij non-compliance kan de bevoegde toezichthoudende autoriteit - in België is dit de Gegevensbeschermingsautoriteit (GBA) - boetes opleggen aan de inbreukmakende ondernemingen. 


Deze GDPR-boetes kunnen hoog oplopen: tot maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet van de onderneming, afhankelijk van welk bedrag het hoogste resultaat geeft.


Wat is een Data Protection Officer?


Functionaris voor Gegevensbescherming


Een Data Protection Officer (DPO), in het Nederlands ook wel de functionaris (voor) gegevensbescherming genoemd, is een onafhankelijke persoon die toeziet op de correcte naleving van de GDPR binnen een onderneming of overheidsinstantie.


In sommige gevallen is het verplicht om een DPO aan te stellen, bijvoorbeeld bij overheden of bedrijven die aan grootschalige verwerking van gevoelige gegevens doen. Maar sowieso is het aan te raden om in andere gevallen toch vrijwillig te kiezen voor de aanstelling van een DPO. 


Zo ben je zeker dat je bedrijf GDPR-conform handelt en zo vermijd je eventuele latere problemen. Bij de aanstelling van een DPO kies je trouwens best voor een externe DPO in plaats van een interne DPO binnen jouw onderneming (een werknemer die de functie van DPO vervult).


Taken van een DPO


Artikel 39 van de GDPR gaat dieper in op de taken van de DPO. De DPO zal de verwerkingsverantwoordelijke of verwerker (lees: de onderneming die persoonsgegevens verwerkt) eerst en vooral informeren en adviseren over de GDPR-verplichtingen die op de onderneming rusten. 


Bij het toezien op de naleving van de GDPR zegt de GDPR dat de DPO met name verantwoordelijkheden toewijst, instaat voor de bewustwording rond de GDRP-verplichtingen en opleidingen organiseert bij het personeel van de onderneming. 


De DPO treedt bovendien ook op als eerste contactpunt of aanspreekpunt (‘Single Point of Contact’) van de bevoegde toezichthoudende autoriteit, zijnde de Gegevensbeschermingsautoriteit (GBA). 


Op deze pagina leggen we je meer uit over de taken die een DPO-consultant op zich kan nemen.


Register van verwerkingsactiviteiten


Is het verwerkingsregister verplicht?


Een van de verplichtingen die volgt uit de GDPR is de plicht om een register van verwerkingsactiviteiten bij te houden (verwerkingsregister) als onderneming die aan de verwerking van persoonlijke gegevens doet.


In dat register staat informatie over de persoonsgegevens die verwerkt worden. Deze verplichting tot het opstellen van dergelijk register wordt soms ook wel de ‘interne documentatieplicht’ genoemd. Deze verplichting is terug te vinden in artikel 30 van de GDPR. 


Uitzonderingen op de interne documentatieplicht


Er zijn maar weinig uitzonderingen voorzien, maar in principe moet er geen verwerkingsregster bijgehouden worden als het gaat om ondernemingen met minder dan 250 werknemers.


Het toepassingsgebied van deze uitzondering is echter erg beperkt en er moet aan een aantal voorwaarden worden voldaan. Hierdoor vallen ondernemingen al gauw buiten het toepassingsgebied van de uitzondering en moeten zij alsnog een verwerkingsregister opstellen.


Zo zijn ondernemingen onder de 250 werknemers alsnog verplicht een verwerkingsregister op te stellen indien:


  • de verwerking een risico inhoudt voor de rechten en vrijheden van de personen wiens persoonsgegevens verwerkt worden.

  • OF indien de verwerking betrekking heeft op gevoelige gegevens. Om te weten welke gegevens onder deze noemer vallen, dient gekeken te worden naar artikel 9 van de GDPR. Zo gaat het bijvoorbeeld om ras of etniciteit, politieke voorkeur, seksuele geaardheid en medische gegevens.

  • OF indien de verwerking betrekking heeft op gerechtelijke gegevens. Artikel 10 van de GDPR zet nader uiteen wat hieronder bedoeld wordt.

  • OF indien de gegevensverwerking ‘gewoonlijk’ is. Denk hierbij bijvoorbeeld aan verwerkingsactiviteiten gelinkt aan het klantenbeheer of personeelsbeheer van een onderneming.


Indien een onderneming met minder dan 250 werknemers niet onder één van deze gevallen valt is het met andere woorden geoorloofd om geen register van verwerkingsactiviteiten op te maken.


Wat moet er allemaal in het verwerkingsregister staan?


Het verwerkingsregister bevat allerlei informatie over de persoonsgegevens die verwerkt worden binnen de onderneming. De specifieke gegevens die het register van verwerkingsactiviteiten moet bevatten worden opgesomd in artikel 30.1 van de GDPR. 


Zo gaat het bijvoorbeeld om de verwerkingsgronden (de juridische grondslag waarom de verwerking veroorloofd is), een beschrijving van de categorieën van persoonsgegevens en betrokkenen en de naam van de verwerkingsverantwoordelijke of verwerker.


Rol van de DPO bij het verwerkingsregister


Artikel 30.1 en 2 van de GDPR bepalen dat het de verwerkingsverantwoordelijke of de verwerker is die het verwerkingsregister moet bijhouden. In praktijk is is het echter vaak de DPO die het register van de verwerkingsactiviteiten bijhoudt. Dit gebeurt dan op basis van de informatie die verstrekt wordt door verschillende afdelingen binnen de onderneming of de organisatie die verantwoordelijk is voor de verwerking van de persoonsgegevens.


Hogergenoemd artikel 39 GDPR, dat dieper ingaat op de taken van de DPO, somt op niet-limitatieve wijze een aantal taken op die ten minste aan de DPO moeten worden toevertrouwd. Hierdoor belet niets de verwerkingsverantwoordelijke of verwerker om de DPO ook te belasten met het bijhouden van het verwerkingsregister. Doordat de DPO zich bezighoudt met het verwerkingsregister kan er bovendien beter toezicht worden gehouden op de naleving van de GDPR binnen de onderneming, wat de belangrijkste taak van de DPO is. Op grond van het verwerkingsregister kan ook informatie en advies worden verstrekt aan de verwerkingsverantwoordelijke of verwerker.

bottom of page