De positie en het belang van de Data Protection Officer

Verplichte of vrijwillige aanstelling van een DPO

De GDPR voorziet in een aantal situaties in een verplichte aanduiding van een DPO. Die verplichting geldt voor de publieke sector (overheidsinstanties of –organen), private sector in het kader van grootschalige verwerking van (bijzondere) categorieën van persoonsgegevens en de risicovolle verwerking van persoonsgegevens.

Maar wist je dat je ook vrijwillig een DPO kan aanstellen? De vrijwillige aanduiding van een DPO biedt enkele voordelen voor jouw onderneming:

• Het stroomlijnen van het GDPR-nalevingsproces binnen de onderneming
• Je beschikt over advies en/of sturing van een expert inzake gegevensbescherming, wat zorgt voor gemoedsrust
• Een onderneming die GDPR-compliant werkt, geniet het vertrouwen van de stakeholders.

Belangrijkste taken van de Data Protection Officer

De DPO neemt volgende taken voor zijn of haar rekening:

• De onderneming en haar werknemers informeren en adviseren over hun GDPR-verplichtingen
• Toezien op de naleving van de gegevensbeschermingsregels
• Sensibilisering en opleiding van de medewerkers
• Advies verstrekken m.b.t. risico’s die gepaard gaan met bedrijfsprocessen, tools, samenwerkingen,... Met name de “DPIA’s” (gegevensbeschermingseffectbeoordeling) en toezien op de uitvoering ervan
• Samenwerking, contactpunt en overleg met de toezichthoudende autoriteit
• Contactpunt zowel binnen als buiten de onderneming voor vragen en klachten inzake GDPR en privacy (bijvoorbeeld wanneer betrokkenen hun recht op inzage willen uitoefenen).

De keuze voor een interne of externe DPO

De rol van de DPO kan zowel door een interne medewerker worden uitgevoerd als door een externe dienstverlener.

De belangrijke aandachtspunten zijn:

• Expertise: de DPO wordt aangewezen op grond van professionele kwaliteiten en deskundigheid op het vlak van de wetgeving en de praktijk inzake gegevensbescherming
• Onafhankelijkheid: de DPO moet onafhankelijk kunnen handelen. Hij of zij mag geen instructies ontvangen en mag niet worden gesanctioneerd omwille van de uitvoering van zijn taken
• Betrokkenheid: de DPO moet naar behoren en tijdig worden betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens
• Toegang tot informatie en middelen: de onderneming moet aan de DPO de nodige informatie en middelen ter beschikking stellen voor het vervullen van diens taken. De DPO moet zich rechtstreeks kunnen wenden tot de zaakvoerders.
• Toegankelijkheid: de DPO moet toegankelijk zijn zowel binnen als buiten de organisatie. De gegevens van de DPO moeten duidelijk worden gecommuniceerd.
• Tijdsbesteding: de DPO moet in staat zijn om voldoende tijd te besteden aan zijn of haar opdracht.
• Aanbevelingen van de DPO: de aanbevelingen moeten worden gedocumenteerd en bewaard
• Belangenconflicten: er mogen geen belangenconflicten aanwezig zijn. Bijvoorbeeld: een interne medewerker die wordt aangesteld als DPO, mag deze functie niet combineren met bepaalde andere functies binnen de onderneming.

Kan een DPO worden aangesteld voor meerdere instellingen?

Het is mogelijk om één Data Protection Officer aan te stellen voor een concern. Dit op voorwaarde dat de DPO vanuit elke vestiging makkelijk te contacteren is en voldoende tijd kan besteden aan zijn of haar taken. De DPO moet namelijk vlot toegankelijk zijn als contactpunt voor de betrokkenen, de toezichthoudende autoriteit, maar ook intern binnen de organisatie.

Hoe gaan we als jouw externe DPO te werk?

SheEO is actief als externe DPO voor ondernemingen in diverse sectoren.  

Daarnaast ondersteunen en adviseren we reeds vele jaren ondernemingen bij het naleven van de GDPR (Algemene Verordening Gegevensbescherming). We hebben een brede expertise opgebouwd in het uitvoeren van GDPR audits, het implementeren van GDPR-maatregelen, het verstrekken van advies en het organiseren van GDPR awareness trainingen.

We starten steeds met een GDPR audit, waarbij we jouw onderneming ten gronde leren kennen en alle bestaande procedures, documenten, registers en overeenkomsten analyseren om: 

• de tekortkomingen en verschillen t.a.v. GDPR in kaart te brengen
• op middellange termijn een actieplan te definiëren om de toestand in overeenstemming te brengen met GDPR. De te voeren acties worden geprioriteerd in relatie tot de risico’s die de vastgestelde tekortkomingen vormen voor de bescherming van de persoonlijke levenssfeer van de betrokken personen
• de procedures en de vereiste documenten, overeenkomsten en registers uit te werken (o.a. privacy beleid, procedure rechten van betrokkenen, procedure inzake bewaartermijnen, procedure inzake data incidenten, update overeenkomsten, register van verwerkingsactiviteiten,...)
• de risico’s in te schatten die verbonden zijn aan de verwerkingen
• sensibilisering- en informatiecampagnes te organiseren voor het geheel van het management en het personeel.

DPO-as-a-service dienstverlening

Vervolgens start onze DPO-as-a-service dienstverlening, waarbij we 

• jou en jouw medewerkers informeren en adviseren over alle GDPR verplichtingen
• toezicht houden op de naleving van GDPR
• interactieve GDPR trainingen voorzien die toegespitst zijn op de activiteiten van jouw onderneming en op de actualiteit
• advies verstrekken ivm de GDPR en privacy risico’s die verband houden met jouw processen, samenwerkingen, tools,... (DPIA’s of gegevensbeschermingseffectbeoordeling) en toezien op de uitvoering ervan
• het contactpunt zijn voor interne vragen of klachten inzake GDPR
• het contactpunt zijn voor externe vragen of klachten inzake GDPR (bijvoorbeeld wanneer betrokkenen hun recht op inzage willen uitoefenen)
• samenwerken met de toezichthoudende autoriteit

Waarom kiezen voor SheEO als externe DPO van jouw onderneming?

Door een beroep te doen op SheEO als jouw externe DPO, kies je voor:

• gemoedsrust: wij nemen de complexe en tijdrovende taken inzake gegevensbescherming van jou over, zodat jij je kunt concentreren op jouw kernactiviteiten en de groei van jouw onderneming.
• expertise en ervaring: met onze jarenlange ervaring en expertise op het gebied van gegevensbescherming, doen we er alles voor om jouw onderneming GDPR compliant te laten worden. We leggen hierbij een proactieve aanpak aan de dag. We staan eveneens in voor een continue controle op de naleving van GDPR binnen de onderneming.
• vertrouwen winnen bij jouw stakeholders: een onderneming die GDPR compliant werkt, wekt het vertrouwen van de stakeholders.