top of page

Wat zijn de taken van een DPO

Wat zijn de taken van een DPO

Een Data Protection Officer (DPO), oftewel functionaris gegevensbescherming, is de verantwoordelijke voor de naleving van de GDPR-verplichtingen in het kader van gegevensverwerking binnen een organisatie.


DPO & Algemene Verordening Gegevensbescherming

General Data Protection Regulation (of Algemene Verordening Gegevensbescherming) is de Europeesrechtelijke wetgeving die in 2016 de wettelijke vereisten die nageleefd moeten worden bij de verwerking van persoonsgegevens introduceerde. Deze wetgeving geldt voor alle ondernemingen, overheidsinstanties en verenigingen die persoonsgegevens verwerken of verzamelen. Het begrip ‘persoonsgegevens’ (personal data) omvat alle mogelijke gegevens en informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijk persoon. Dat wil zeggen dat indien data direct over een persoon gaat of naar deze persoon te herleiden is, er al sprake is van persoonsgegevens. 


Persoonlijke gegevens zijn gegevens over een natuurlijke levende persoon waarmee deze persoon direct of indirect kan worden geïdentificeerd. Denk bijvoorbeeld aan een email, telefoonnummers, IP-adres etc. Ook combinaties van indirecte factoren vallen onder het toepassingsgebied van de GDPR-normen, indien ze kunnen leiden tot identificatie van natuurlijke personen. 


Verplichtingen van een Data Protection Officer 

De DPO helpt bij de implementatie van de GDPR binnen een onderneming of overheid en fungeert als contactpersoon ten aanzien van de privacy-autoriteit en de betrokkenen. Deze lijst van verplichtingen is echter niet limitatief: welke bijkomende taken en verplichtingen het bedrijf aan de DPO opdraagt kan telkens in overleg met de Data Protection Officer worden bepaald.


Informeren & adviseren over GDPR-verplichtingen

Eerst en vooral moet een Data Protection Officer advies verstrekken omtrent het juridisch aspect van de verwerking van persoonsgegevens. Deze adviserende rol is niet te onderschatten: op de dag van vandaag zijn er enorm veel wettelijke regels rond privacy en deze moeten allemaal gerespecteerd worden wil een bedrijf sancties en imagoschade voorkomen.

Algemene strategie inzake gegevensverwerking

De Data Protection Officer is verantwoordelijk voor de algemene strategie van de onderneming inzake verwerking van persoonlijke data. Vaak gebeurt dit in samenspraak met de hoogste leidinggevende van het bedrijf.


DPO & toezichthoudende autoriteit

Bovendien functioneert een Data Protection Officer als het eerste aanspreekpunt van de Gegevensbeschermingsautoriteit. Wanneer de toezichthoudende overheid controles uitvoert in het kader van de privacywetgeving, zal de Data Protection Officer van de bijhorende onderneming de contactpersoon zijn aan wie de Gegevensbeschermingsautoriteit zich zal wenden voor bijkomende vragen en inlichtingen. Hiervoor dient de DPO zelf goed op de hoogte te zijn van de verwerkingen van persoonsgegevens binnen het bedrijf. 


De functionaris gegevensbescherming is ook het contactpunt voor personen die hun rechten met betrekking tot hun persoonsgegevens wensen uit te oefenen. Vaak wordt hiervoor een speciaal e-mail adres of telefoonnummer opgemaakt.


Privacybeleid van de onderneming

Daarnaast helpt de Data Protection Officer bij het opstellen van het privacybeleid dat door het bedrijf gehanteerd zal worden. Natuurlijk let de DPO er ook op dat dit beleid later nageleefd wordt. Hierbij zal de DPO in sommige gevallen ook verantwoordelijk zijn voor het creëren van bewustmaking bij de werknemers door onder meer trainingen rond GDPR en omgaan met persoonsgegevens te voorzien voor het personeel.


Bijkomende verplichtingen

Hoewel de DPO vooral als adviseur en toezichthouder in het kader van de bescherming van de persoonsgegevens fungeert, is het nog altijd mogelijk dat er bijkomende taken aan de Data Protection Officer gedelegeerd worden. Zo is de verwerkingsverantwoordelijke of de verwerker zelf (en niet de DPO) normaal gezien verplicht om het register van de verwerkingsactiviteiten bij te houden. In de praktijk zijn het echter meestal de functionarissen die beter op de hoogte zijn van de verwerkingsactiviteiten van de onderneming. Niets belet de verwerker of de verwerkingsverantwoordelijke dan ook om de DPO te belasten met het bijhouden van het verwerkingsregister.


Externe vs interne DPO

Als ondernemer heb je de keuze tussen de samenwerking met een externe organisatie die de taken van een DPO voor jouw bedrijf gaat vervullen enerzijds en het aanstellen van een van jouw werknemers als een interne DPO anderzijds. De eerste optie geniet doorgaans de voorkeur van de meeste bedrijfsleiders: een externe DPO beschikt namelijk vaak over meer ervaring. 


Daarnaast zorgt de samenwerking met een externe DPO voor de nodige onafhankelijkheid van de Data Protection Officer: de AVG vereist namelijk dat de DPO geen instructies mag ontvangen van de onderneming in de uitvoering van zijn taken.


Daarbij heb je bij een samenwerking met een externe DPO geen risico op het belangenconflict. Dit blijkt een belangrijke vereiste te zijn, daar de GBA een zeer hoge boete kan opleggen aan de bedrijven waarin de interne DPO-werknemer een andere functie met tegenstrijdige belangen vervult. Zo heeft de GBA een boete van 50.000 euro opgelegd aan het bedrijf dat haar hoofd van compliance, audit en risico daarnaast ook als DPO had aangesteld. Het hoeft dus geen betoog dat de meeste ondernemingen liever op safe spelen door een freelance DPO aan te stellen. 


Wanneer ben ik verplicht een DPO aan te stellen?

​

Het is volgens de GDPR-wetgeving verplicht een DPO aan te stellen in volgende gevallen:

​

  • SaaS-platformen of bedrijven die hosting aanbieden;

  • Overheidsinstanties;

  • Dienstverleners van een overheidsinstantie die verwerkingsactiviteiten met betrekking tot persoonsgegevens uitvoeren voor deze overheid;

  • Bedrijven die 10.000+ klantengegevens verwerken uit de zorgsector (huisartsenpraktijk, apotheek, ziekenhuis...);

  • Notarissen, gerechtsdeurwaarders;

  • Advocatenkantoren met 10.000+ personen in database;

  • Ondernemingen die aan profiling of observatie doen op grote schaal.


Voor ondernemingen die veel of gevoelige persoonsgegevens verwerken is het sowieso aangeraden om een DPO aan te stellen. 


Mr. Franklin, jouw GDPR-expert

Mr. Franklin is een advocatenkantoor met een bijzondere expertise in gegevensbescherming en privacy. Ons team telt drie gecertificeerde DPO's met ruime ervaring bij tal van ondernemingen en overheden. We werden onder meer aangesteld als Data Protection Officer bij ondernemingen in de zorgsector, hostingbedrijven, online-advertentiebedrijven, ondernemingen in de juridische sector zoals advocatenkantoren, gerechtsdeurwaarderskantoren en notarissen en (toeleveranciers van) overheden. 


Onze aanpak

Als Mr. Franklin proberen we zoveel mogelijk voor onze klanten te betekenen. We staan voor een duidelijke en pragmatische aanpak, waarbij transparantie over de kosten een topprioriteit is. Maatregelen worden steeds in overleg en op maat van jouw onderneming genomen, met veel aandacht voor de voorkeuren en noden van jouw onderneming.


Wat houdt onze DPO as-a-service formule in? Aan de hand van een privacy-audit wordt het privacybeleid en de verwerking van persoonsgegevens in jouw onderneming in kaart gebracht, samen met de al genomen maatregelen op dat gebied. Hierna worden de nodige documenten opgemaakt. Bovendien biedt Mr. Franklin ook all-in-one formules aan om jouw onderneming GDPR-proof te maken. Prijzen voor onze all-in-one pakketten starten vanaf 2.000,00 € + BTW. 


Contacteer ons

Benieuwd naar onze DPO as-a-service formule? Of zou je meer willen weten over andere diensten en eraan verbonden tarieven?

Neem gerust vrijblijvend contact met ons op.


 Olivier Sustronck

+32 486 27 53 05

olivier@misterfranklin.be


bottom of page