Op 25 januari 2012 publiceerde de Europese commissie een ontwerptekst van de General Data Protection Regulation (GDPR). De hervorming van de privacyregels was een antwoord op de toegenomen digitalisering en de daar bijhorende consumptie van persoonsgegevens. De tekst uit 2012 vormde de basis van een complex en lang politiek proces, met meer dan 3000 amendementen en honderden pagina’s aan lobbywerk. Eén van de opvallende vernieuwingen in de nieuwe regelgeving is de verplichting om, in bepaalde gevallen, een data protection officer (DPO, functionaris voor de gegevensbescherming) aan te stellen.

De DPO kan gezien worden als een sluitstuk van een systeem van verantwoording dat in de nieuwe privacyregels werd opgenomen: wanneer persoonsgegevens worden verwerkt, moet een bedrijf kunnen aantonen dat het dit op een correcte manier doet. De rol van de DPO kan worden samengevat in 3 woorden: informeren, adviseren en toezicht houden.

Informeren staat voor het uitdragen van de regelgeving en de toepassing daarvan binnen en buiten de organisatie. Zo is de DPO het aanspreekpunt voor medewerkers binnen de organisatie en bij leveranciers. Het organiseren van bewustwordingssessies en opleidingen voor stakeholders die met persoonsgegevens omgaan is dus een must. Daarenboven kan de DPO worden aangesproken door de klanten van wie persoonsgegevens worden verwerkt. De toezichthouder, zoals de Gegevensbeschermingsautoriteit of de Vlaamse Toezichtcommissie, zal in de eerste plaats de DPO aanspreken om informatie te verzamelen over de verwerkingsprocessen.

De tweede taak, adviseren, is ongetwijfeld de taak die het meeste expertise vergt. De DPO heeft voor deze taak zowel technische als juridische kennis nodig om een verwerking van persoonsgegevens te toetsen aan de wettelijke vereisten. De taak wordt bemoeilijkt door abstracte regels die moeten vertaald naar de specifieke context van de organisatie. Op juridisch vlak kan de analyse worden beïnvloed door sector specifieke regelgeving. Het technische luik kan dan weer afwijken op basis van technische normen die op de verwerking van toepassing zijn. Juridische en technische kennis is dus vereist om de job van DPO uit te voeren. Beide kennisdomeinen zijn evenwel zelden terug te vinden in één persoon.

Naast de taak om interne en externe stakeholders te informeren en advies te verstrekken, dient de DPO ook toezicht te houden op de verwerkingen die een organisatie uitvoert. De wetgever heeft deze taak in de GDPR ingeschreven om een eerste controle te voorzien op de correcte verwerking van persoonsgegevens. Er zijn in zekere mate ook parallellen te trekken met bijvoorbeeld de functie van interne auditor, ombudsfunctie of een preventieadviseur. De controlefunctie verklaart waarom de DPO een onafhankelijkheid heeft ten opzichte van de organisatie.

Informeren, adviseren en toezicht houden doen uitschijnen dat de DPO niet belast wordt met implementeren. Nochtans heeft een organisatie die de GDPR regels wil naleven heel wat werk met het implementeren van allerlei in de wet opgenomen verplichtingen. Zo moet een register van verwerkingsactiviteiten worden aangelegd – een soort van landkaart met alle processen waar met persoonsgegevens wordt gewerkt -, een procedure voor datalekken worden opgesteld die garandeert dat je een incident met persoonsgegevens tijdig kan detecteren en aangeven, overeenkomsten met onderaannemers afsluiten enz. Vaak worden deze taken uitgevoerd door de DPO. Dit vergt een inzicht in de bedrijfsvoering en de manier waarop de organisatie werkt en kan werken.

De DPO is dus iemand met technische en juridische kennis, heeft een onafhankelijke rol binnen de organisatie en is communicatief. Dit zijn veel competenties in één persoon. Om deze kennis te verwerven is een goede en permanente vorming onontbeerlijk. Enkel dan kan de DPO, als manusje-van-alles, zijn of haar rol correct invullen.

Wil je jezelf trainen om DPO te worden of wil je je verworven kennis op peil houden? Kijk dan hier naar onze opleidingen.