Datum
26.10.2020
Heeft een data protection officer (DPO) een rol uit te voeren bij de GDPR-implementatie van een bedrijf? Het lijkt een vanzelfsprekende ja, maar het antwoord op deze vraag is eerder genuanceerd.
GDPR-implementatie in de praktijk
Wie op een tijdslijn de evolutie van het recht op gegevensbescherming bekijkt, zal tot de vaststelling komen dat doorheen de tijd het principe van ‘verantwoording’ aan belang wint. In het gegevensbeschermingsrecht wordt meer en meer de nadruk gelegd op het afdwingen van de regels. Zo nam de regelgever de term ‘verantwoording’ letterlijk op in de basisprincipes van de Europese verordening over gegevensbescherming, de GDPR.
In praktijk betekent dit voor bedrijven dat ze allerhande procedures, documenten en analyses moeten voorzien, die ten opzichte van een toezichthouder bewijzen dat ze correct omgaan met persoonsgegevens. Concreet gaat het onder meer over het aanleggen van een register van verwerkingsactiviteiten, het uitvoeren van een risicoanalyse bij risicovolle verwerkingen, het afsluiten van overeenkomsten en het maken van afspraken met partners waarmee persoonsgegevens worden uitgewisseld, het verplicht melden van inbreuken en het aanstellen van een data protection officer (DPO).
Bedrijven moeten dus aan de slag om de verplichtingen die GDPR hen oplegt in praktijk om te zetten. Een recent rapport van de Gegevensbeschermingsautoriteit geeft aan dat bedrijven nog steeds niet voldoende op de hoogte zijn van de verschillende verplichtingen. Hoe dan ook zal hun implementatietraject starten met het zelf verwerven van kennis dan wel met het aanstellen van een expert, mogelijk zelfs een DPO. Maar mag een DPO betrokken worden bij de implementatie en het in stand houden van de hogergenoemde verplichtingen?
Onafhankelijke rol
Het uitgangspunt om deze vraag te beantwoorden is de onafhankelijkheid die aan de rol van de DPO is verbonden. Met onafhankelijkheid wordt bedoeld dat de DPO gezien wordt als een adviseur, een inspiratiebron en een controleur. De implementatie aan de DPO overlaten houdt met andere woorden een zeker risico in: mogelijk moet de ‘controleur’ zijn of haar eigen implementatie beoordelen. Rechter en partij worden dan één, waardoor de onafhankelijkheid wordt geschaad.
In praktijk is de DPO mogelijk meer betrokken bij de bedrijfsvoering dan strikt genomen toegelaten is. Organisaties hebben noch de capaciteit noch de cultuur om iemand aan te stellen die enkel aan de zijlijn staat te roepen en niet zelf de handen uit de mouwen steekt. Bovendien is het domein van gegevensbescherming jong, waardoor net opgeleide DPO’s graag meewerken aan de implementatie van de verplichtingen om zo ervaring op te doen met wat werkt en niet werkt binnen een organisatie. Uit onze observaties blijkt dat de DPO in vele gevallen belast wordt met de implementatie van GDPR binnen het bedrijf.
De DPO als implementor
Hoe kan de DPO helpen bij de implementatie zonder de onafhankelijkheid te schaden? In onderstaand tabelletje lijsten we enkele belangrijke verplichtingen op die GDPR nastreeft. Bij elke verplichting geven we aan in welke mate de DPO kan helpen om deze te implementeren.
| Verplichting | Rol van de DPO |
| Register van verwerkingsactiviteiten | De DPO kan het register onderhouden. Voor de DPO kan dit register immers dienen als een dashbord of referentiepunt. De kennis die nodig is om het register inhoudelijk op te vullen zal doorgaans wel bij medewerkers van het bedrijf moeten worden gehaald. |
| Gegevensbeschermingseffectbeoordeling | Dergelijke analyse uitvoeren kan niet door de DPO gebeuren. De DPO heeft immers een expliciete adviesrol in deze risicoanalyse. De DPO kan wel de methodiek (helpen) vastleggen en de risicoschalen mee bepalen. Bovendien kan de DPO opleidingen geven over hoe de analyse moet worden uitgevoerd. |
| Uitvoeren rechten betrokkene | Uitvoeren van rechten van de betrokkeneWanneer een klant gegevens opvraagt, wil inkijken of wissen, moet in de eerste plaats worden nagegaan of de betrokken klant wel degelijk recht heeft op de gevraagde handeling. Dit vergt doorgaans een juridische analyse waarbij de DPO kan helpen. De DPO moet de directie adviseren (dat kan op basis van case-by-case adviezen of kaderafspraken). De directie kan echter het advies van een DPO naast zich neerleggen en bijvoorbeeld een inzageverzoek weigeren, niet tegenstaande de DPO adviseert om het verzoek in te willigen. Het is in een dergelijke situaties niet evident dat de DPO deze taak uitvoert: de DPO moet dan handelen tegen het eigen gegeven advies. Conclusie: in praktijk is de DPO vaak belast met deze taken, maar een goede afstemming met de directie is steeds noodzakelijk. Deze taak bij de DPO leggen is met andere woorden geen best practice en kan enkel door de DPO worden uitgevoerd mits duidelijke afspraken en feedback naar de directie. |
| Melden/mededelen van gegevenslekken | Voor deze verplichting geldt dezelfde redenering als bij het uitvoeren van de rechten van de betrokkene. De DPO kan helpen de administratieve verplichtingen ten aanzien van de melding aan de toezichthouder en de mededeling aan de betrokkene in geval van een inbreuk. De beslissing om de melding en mededeling al dan niet uit te voeren gebeurt door de directie, op advies van de DPO. In praktijk is het vaak de DPO die de effectieve melding uitvoert. De mededeling gebeurt in praktijk bij voorkeur door een communicatiedeskundige, na goedkeuring door de directie en op advies van de DPO. |
| Informatieveiligheid en gegevensbescherming bij ontwerp en als standaardinstelling | De meest technische opdracht is de beveiliging van de informatie. Dit komt in praktijk vaak neer op de implementatie van technische maatregelen. De mate waarin de DPO effectief de gegevens beveiligt of beveiligingssystemen inbouwt, is met andere woorden in de eerste plaats afhankelijk van de kennis van de DPO. De functie van DPO combineren met de taak van operationele beveiligingsexpert is echter niet aanbevolen en zelfs af te raden. |
| Overeenkomsten met partners | De contractuele afspraken die moeten worden gemaakt met een partner zijn vaak ruimer dan gegevensbescherming. We focussen ons hier enkel op de afspraken die handelen over gegevensbescherming: de verwerkersovereenkomst. In praktijk zal de DPO deze overeenkomst vaak zelf onderhandelen met de leveranciers. De DPO zal uiteindelijk de directie adviseren de overeenkomst al dan niet te ondertekenen. Hierbij moet de DPO de verwerkingsverantwoordelijke ook inlichten over eventuele tekortkomingen. Eenmaal de overeenkomst is getekend, is het belangrijk dat deze ook wordt opgevolgd: hier kan de DPO helpen vanuit de rol van toezicht op de gegevensbescherming. |
Datum
26.10.2020
