De afgelopen jaren ontwikkelde de technologie zich aan een recordtempo. Internet werd alomtegenwoordig, sociale media eisten hun gouden troon op en de hoeveelheid beschikbare data kende een waanzinnige groei. De wetgeving hinkte echter steeds verder achterop...
General Data Protection Regulation
Daar komt nu dus verandering in. De kogel is door de spreekwoordelijke kerk: het Europese Parlement heeft een nieuwe Europese verordening omtrent het verwerken van persoonsgegevens goedgekeurd: de zogenaamde General Data Protection Regulation of GDPR. Die zal vanaf mei 2018 van kracht zijn.
Eén van de opvallendste elementen van de verordening is de nieuwe rol van de Data Protection Officer (DPO). Maar wat doet zo’n expert dan eigenlijk en belangrijker nog… Hebben we dan binnenkort allemaal zo’n DPO nodig?
Wanneer moet u een Data Protection Officer aanstellen?
Het antwoord is simpel: dat hangt ervan af. Er zijn namelijk een aantal vragen die u zich moet stellen alvorens over te gaan tot de aanwerving of aanduiding van een Data Protection Officer.
- Is uw organisatie een overheidsinstantie of -orgaan (behalve gerechten in uitvoering van rechterlijke taken)?
- Bent u hoofdzakelijk belast met de verwerking van bijzondere categorieën van gegevens? Dat zijn gegevens die ras, politieke voorkeur of religieuze overtuiging weergeven of betrekking hebben op strafrechtelijke feiten.
- Bent u hoofdzakelijk belast met gegevensverwerkingen die regelmatige en stelselmatige observatie op grote schaal eisen?
Indien u op alle bovenstaande vragen “nee” antwoordde, bent u niet verplicht om een DPO te benoemen. Indien u op één of meerdere van de bovenstaande vragen “ja” heeft geantwoord, hoort u tegen 2018 een DPO aan te duiden.
U mag deze rol toekennen aan een bestaande werknemer. Zijn of haar andere verantwoordelijkheden moeten wel compatibel zijn met de verplichtingen van een DPO. Zo mag hij of zij uiteraard geen tegenstrijdige belangen dienen. Binnen een bedrijvengroep of concern volstaat het om één DPO aan te duiden, op voorwaarde dat deze voor elke vestiging makkelijk bereikbaar is. Een DPO kan als werknemer aangenomen worden, maar kan even goed zijn taken uitvoeren binnen een dienstverleningsovereenkomst.
Wat zijn “verwerkingen die regelmatige en stelselmatige observatie op grote schaal eisen”?
U vond waarschijnlijk ook al dat de vierde voorwaarde om een DPO aan te stellen een aaneenschakelijking van vage woorden is, waarvan bovendien meerdere interpretaties mogelijk zijn. Er bestaat discussie over wat de correcte interpretatie is van het “hoofdzakelijk belast zijn met verwerkingen die observatie op grote schaal eisen”. Hier lijkt enige verheldering dus wel gepast.
- “Hoofdzakelijk” betekent alvast dat de verwerkingen op grote schaal tot de kernactiviteiten van de organisatie moeten behoren. Het blijft echter onduidelijk of met “kernactiviteiten” enkel die activiteiten die winst opbrengen bedoeld worden. In dat geval zouden afdelingen zoals HR en IT hier niet onder vallen, terwijl net deze afdelingen soms wel op regelmatige en stelselmatige manier observatie vereisen.
- Het is ook niet helemaal duidelijk waarom de woordkeuze hier valt op “observatie” en niet de logischere term “verwerking”.
- Onder “op grote schaal” verstaan ze “een aanzienlijke hoeveelheid aan persoonsgegevens op regionaal, nationaal of supranationaal niveau” of “een grote hoeveelheid betrokkenen”. “Groot” en “aanzienlijk” zijn natuurlijk subjectieve begrippen.
Deze interpretaties hebben een ingrijpend gevolg: de gegevensverwerking van een bepaalde organisatie mag dan wel aan een van de basiscriteria voldoen, toch kan het bedrijf de verplichting om een Data Protection Offier aan te stellen uit de weg gaan, indien het bewijst dat de gegevensverwerking niet tot de kernactiviteiten van het bedrijf behoren. De WP29, een Europees adviesorgaan, publiceerde inmiddels een reeks richtlijnen die kunnen helpen bij de interpretatie van de voorwaarden. Daar hebben we een andere blogpost gewijd.
DPO-gerelateerde verantwoordelijkheden voor organisaties
De aanduiding van een Data Protection Officer moet gebeuren op basis van professionele kwaliteiten en expertise van wetten en praktijken inzake gegevensbescherming. Om het nodige niveau van expertise vast te stellen, moeten organisaties hun type van gegevensverwerking en het daarbij horende niveau van bescherming bepalen.
De hoofdtaak van de gegevensverwerkers en verwerkingsverantwoordelijken bestaat eruit de onafhankelijkheid van de DPO te garanderen. Volgende praktijken moeten hierbij helpen:
- Gegevensbewaring: De verwerkingsverantwoordelijke of gegevensverwerker maakt contactgegevens van de DPO bekend bij de toezichthoudende autoriteit (i.e. Privacy Commissie in België of College Bescherming Persoonsgegevens in Nederland) en bewaart zijn of haar naam en contactgegevens ook in het register van verwerkingsactiviteiten;
- Ondersteuning: De verwerkingsverantwoordelijke of gegevensverwerker voorziet de DPO van de nodige middelen om zijn of haar taken uit te voeren en om zijn of haar expertise te onderhouden;
- Transparantie: De verwerkingsverantwoordelijke of gegevensverwerker geeft de DPO toegang tot persoonsgegevens en uw verwerkingsactiviteiten;
- Betrokkenheid: De verwerkingsverantwoordelijke of gegevensverwerker zorgtervoor dat de DPO voldoende en op tijd betrokken raakt bij alle zaken die te maken hebben met de bescherming van persoonsgegevens.
- Verslaggeving: De verwerkingsverantwoordelijke of gegevensverwerker stelt een duidelijke en transparante missie en jaarverslagen op.
Iedere schending van DPO-gerelateerde voorzieningen van de GDPR kan tot hoge administratieve boetes leiden, die kunnen oplopen tot €10.000.000 of 2% van de totale wereldwijde omzet en dat kunt u wel missen als kiespijn.
De bijkomende verplichtingen van de verwerker en verwerkingsverantwoordelijke zijn de volgende:
- De DPO voorzien van constante en effectieve training en een professioneel ontwikkelingsprogramma, zodat die een voortgezette expertise (inzake ICT-tools, juridische kennis, IAPP-certificaten, etc.) kan onderhouden. Het bijkomende kostenplaatje voor KMO’s moet echter wel in verhouding zijn.
- Toezicht houden dat de rol van de DPO niet vereenvoudigd wordt tot die van politieagent. Zijn of haar rol moet vertrouwen uitstralen en het doel moet zijn om oplossingen te bedenken. De DPO moet het management van eventuele issues op de hoogte brengen, zodat die op haar beurt kan beslissen hoe ze ermee zal omgaan.
Verantwoordelijkheden van de Data Protection Officer
Uiteraard hoort deze DPO u niet enkel extra geld en tijd te kosten, maar is het de bedoeling dat hij of zij nuttig bijdraagt tot uw bedrijfssucces. Wat is nu juist het takenpakket van deze Data Protection Officer?
- Een DPO voorziet uw organisatie van informatie en advies omtrent de GDPR-verplichtingen;
- Een DPO monitort de naleving van de GDPR aan de hand van de Europese of lokale beschermingsvoorzieningen en de privacy policy van uw organisatie. Hij of zij staat ook in voor het trainen van de betrokken werknemers en het uitvoeren van eventuele audits;
- Een DPO adviseert uw organisatie omtrent de verplichte risicoanalyse en de resultaten ervan;
- Een DPO werkt samen met de regionale autoriteit en treedt op als contactpersoon voor uw organisatie;
- Een DPO biedt antwoord op alle vragen omtrent de gegevensverwerking en de rechten van de betrokkenen wiens data verwerkt worden.
Een Data Protection Officer voor uw organisatie?
Ieder bedrijf krijgt nu even de tijd om de nodige maatregelen te treffen, vooraleer de GDPR in voegen gaat op 25 mei 2018.
Deze wet zal meteen van kracht zal zijn in alle Europese lidstaten en is van toepassing voor alle bedrijven of organisaties die omgaan met klanten gegevens van Europese burgers. Voor elk bedrijf en elke instantie dus.