De onmisbare DPO

wo, 25/11/2020 - 17:27

Door: Redactie WINMAG Pro

De AVG/GDPR-wetgeving is inmiddels alweer een tijd terug ingegaan. Veel bedrijven waren daar enigszins huiverig voor. Vooral vanwege de vaak vage wetteksten die wel heel veel ruimte voor interpretatie overlieten. Misschien wel het beste voorbeeld daarvan is het werk van de DPO, de Data Protection Officer. Voor sommige bedrijven is het na de invoering van de AVG verplicht om er eentje in dienst te hebben. Maar wanneer dat nou precies nodig is, is voor veel ondernemers niet heel duidelijk. En wat doet zo’n DPO dan vervolgens?

Wat doet een DPO?

De functie van Data Protection Officer (DPO) bestond ook voor de invoering van de AVG al een tijdje. Zijn werk bestaat uit het adviseren en ondersteunen van bedrijven en organisaties op het gebied van wet- en regelgeving over privacy. Behalve dat adviseren, ziet hij er vervolgens ook op toe. Iemand met een dubbele pet dus. Tot slot is hij ook de contactpersoon tussen het bedrijf en de Autoriteit Persoonsgegevens (AP). Zij houden namens de overheid toezicht op de naleving van de AVG. Een goede DPO is kortom iemand met zowel een goede juridische als technische achtergrond. Hij moet precies weten wat de wettelijke verantwoordelijkheden zijn en die weten te koppelen aan het IT-systeem van het bedrijf waarmee de privacy-informatie wordt verwerkt.

Wanneer een DPO?

De grote vraag die veel bedrijven nu nog steeds hebben is wanneer ze wel of niet verplicht een DPO moeten aanstellen. Daarbij krijgen ze weinig hulp van de wettekst van de AVG. Deze heeft het namelijk over: ‘Een verwerkingsverantwoordelijke die is belast met verwerkingen die vanwege hun aard, hun omvang en/ of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen.’

Kerntaak of niet?

In normaal Nederlands gaat het dan over bedrijven waarbij het verwerken van persoonsgegevens een kerntaak is. Gelukkig werden er later aanvullingen gegeven op deze tekst door een AVG-werkgroep. Daaruit blijkt dat bijvoorbeeld ziekenhuizen altijd een DPO moet hebben. Het verwerken van persoonsgegevens is weliswaar geen kerntaak (gelukkig maar), maar aan de andere kant is het onmogelijk om patienten te helpen zonder inzage te hebben in hun gegevens. Tegelijkertijd is ook schaalgrootte van belang. Een huisarts is namelijk weer niet verplicht om een DPO te hebben.

Grijs gebied

Om het lastig te maken zit er uiteraard altijd een grijs gebied tussen. De werkgroep gaf daarvoor als leidraad mee dat je vooral moet kijken of je als bedrijf ‘regelmatig en stelselmatig’ gebruikers observeert. Doe je dat niet, dan heb je geen DPO nodig. Andersom wel. En bij twijfel kun je altijd advies vragen bij de AP.

DPO worden

Het werk van een DPO is overigens per organisatie of bedrijf verschillend. Hoe groter een bedrijf, des te meer werk de DPO zal hebben en hoe meer uren hij of zij daar kan werken. Tot fulltime aan toe. Kleinere bedrijven kunnen een DPO parttime in dienst nemen, of zelfs iemand extern inhuren. Het maakt het werk van de DPO er in ieder geval niet minder interessant om. Speciaal vanwege de enorm toegenomen interesse van DPO’s worden er inmiddels behoorlijk wat cursussen en trainingen aangeboden. Een officiele opleiding om DPO te worden bestaat namelijk niet.