DPO
aanstellen
DPO aanstellen: doe een beroep op de experts van Mr. Franklin.
Wat is een Data Protection Officer (DPO)?
Een Data Protection Officer (DPO) is een persoon die toeziet op de naleving van de privacywetgeving in een onderneming. In het Nederlands spreekt men ook wel van een functionaris gegevensbescherming.
De GDPR (General Data Protection Regulation of Algemene Verordening Gegevensbescherming) is hier van groot belang. Deze relatief nieuwe Europese privacywetgeving geeft een aantal rechten aan Europese burgers zodat hun privacy beter beschermd wordt, maar legt ook een aantal plichten op aan ondernemingen. Een DPO kan ervoor zorgen dat jouw bedrijf GDPR-proof is.
Is een DPO aanstellen verplicht?
Neen, hoewel het kan nuttig zijn is het aanstellen van een data protection officer voor veel bedrijven geen verplichting. In sommige gevallen zijn ondernemingen echter wel verplicht tot het aanstellen van een DPO. In artikel 37, lid 1, van de GDPR worden drie situaties onderscheiden waarbij een DPO dient te worden aangesteld.
Wil je meer lezen over ondernemingen en het aanstellen van een DPO? Neem dan eens een kijkje op deze pagina.
​
Gegevensverwerking door de overheid
Deze situatie is het eenvoudigste: wanneer de verwerking van gegevens door een overheidsinstantie of een overheidsorgaan gebeurt, dient verplicht een DPO aangesteld te worden. Een uitzondering hierop is de uitoefening van rechterlijke taken door de gerechten.
​
Regelmatige en stelselmatige observatie op grote schaal
Wanneer een verwerkingsverantwoordelijke of verwerker hoofdzakelijk belast is met verwerkingen van persoonsgegevens die regelmatige en stelselmatige observatie op grote schaal van de betrokkenen vereisen, zal er ook een DPO moeten worden aangesteld. Dit volgt uit de aard, omvang en/of doeleinden van deze verwerkingen.
Het moet hier betrekking hebben op de kerntaak van een verwerkingsverantwoordelijke. Dit houdt in dat het ofwel gaat om de hoofdactiviteit van een onderneming, ofwel om een nevenactiviteit die onlosmakelijk verbonden is met deze hoofdactiviteit.
Bij een bewakingsfirma die beveiligingscamera’s observeert in een winkel is de hoofdactiviteit de verwerking van persoonsgegevens waarbij deze verwerking regelmatige en stelselmatige observaties vereist van betrokkenen, namelijk de personen die in de winkel komen.
Een ziekenhuis daarentegen heeft niet als hoofdactiviteit gegevens van patiënten te verwerken. Het gaat hier echter wel om een nevenactiviteit die nauw verbonden is met de hoofdactiviteit van het ziekenhuis, namelijk het verstrekken van gezondheidszorg. Zonder het verwerken van gegevens zou het ziekenhuis niet kunnen draaien.
​
Grootschalige verwerking
De laatste situatie waarbij er verplicht een DPO moet worden aangesteld is wanneer de verwerkingsverantwoordelijke of verwerker de grootschalige verwerking van bepaalde types gegevens als kerntaak heeft. Het gaat hier om twee soorten gegevens: bijzondere categorieën van gegevens zoals gezondheidsgegevens en persoonsgegevens die betrekking hebben op strafrechtelijke veroordelingen en strafbare feiten.
​
Bijzondere categorieën van gegevens
Artikel 9 van de GDPR gaat dieper in op deze bijzondere categorieën van persoonsgegevens.
Het gaat hier onder andere over persoonsgegevens waaruit ras of etnische afkomst kan worden afgeleid, of gegevens die betrekking hebben op iemands seksueel gedrag of seksuele voorkeur, politieke opvattingen of levensbeschouwelijke overtuigingen. Ook genetische gegevens en biometrische gegevens vallen hieronder.
Deze bijzondere gegevens verwerken is trouwens in principe verboden, al zijn er wel uitzonderingen op. Zo mag er bijvoorbeeld wel een verwerking plaatsvinden als de betrokken persoon zijn of haar toestemming vrijwillig en schriftelijk heeft gegeven.
​
​
Strafrechtelijke veroordelingen en strafbare feiten.
Wanneer er strafrechtelijke persoonsgegevens worden verwerkt moet er ook verplicht een DPO worden aangesteld. Het gaat hier om persoonsgegevens die te maken hebben met strafrechtelijke veroordelingen en strafbare feiten. Voor ondernemingen is deze categorie van persoonsgegevens vaak niet relevant.
​
Wie kan er optreden als Data Protection Officer?
Een DPO kan zowel intern als extern worden aangesteld. Een interne DPO zal dan een werknemer van de onderneming zelf zijn. Een externe DPO daarentegen staat los van het bedrijf en treed onafhankelijk op.
​
Wat zijn de voordelen van een (externe) DPO?
Ook al is het niet altijd verplicht een DPO aan te stellen, toch heeft dit vaak voordelen. Zelfs toezichthoudende autoriteiten hechten hier een zeker belang aan.
Voor ondernemingen die veel of gevoelige persoonsgegevens verwerken is het altijd een goed idee om een DPO aan te stellen. Op die manier heb je als onderneming meer zekerheid dat je voldoet aan de eisen van de GDPR en dat de privacy van betrokkenen niet in het gedrang komt. Door GDPR-proof te opereren creëer je als bedrijf dan weer vertrouwen, wat altijd positief is.
Het aanstellen van een DPO kan ook als voordeel hebben dat dit als een verzachtende factor wordt gezien wanneer de bevoegde toezichthoudende autoriteit beslist over het al dan niet opleggen van een geldboete. In België is dit de Gegevensbeschermingsautoriteit.
Een externe DPO inhuren heeft alleen maar voordelen. Externe DPO’s zijn getraind en hebben een grote expertise op het vlak van privacy-wetgeving in allerhande sectoren. Ook hun onafhankelijkheid ten aanzien van de onderneming is een grote troef. Meer informatie over het inhuren van een externe DPO en de voordelen die hieraan verbonden zijn vind je in dit artikel over externe DPO's.
​
​
Wat kan Mr. Franklin voor jouw bedrijf betekenen?
DPO as a service houdt in dat een externe Mr. Franklin DPO jouw bedrijf helpt bij de implementatie van de GDPR-vereisten.
Er werken momenteel drie gecertificeerde DPO’s bij Mr. Franklin, die al veel ervaring hebben opgedaan bij allerlei bedrijven en overheden. Zij weten dus perfect hoe de gegevensverwerking binnen jouw bedrijf op de meeste efficiënte en grondige manier kan worden aangepakt.
Mr. Franklin hecht veel belang aan een pragmatische en transparante aanpak. Bij ons kan je terecht voor service op maat. Er zal gekeken worden naar de specifieke noden en eisen van jouw bedrijf, zodat het GDPR-proof kan opereren.
Duidelijkheid over de kosten is bij ons ook erg belangrijk. Wij werken daarom met all-in formules, waarbij de prijs voor een kwartaalabonnement DPO as a service al start vanaf €300 + BTW.
​
​
Contacteer ons
Voor meer informatie omtrent onze dienstverlening kan je ons steeds vrijblijvend contacteren.
Olivier Sustronck
+32 486 27 53 05
CONTACTEER ONS!
