Datum
30.08.2023
De DPO: jurist of techneut
Ook bij de Eerstelijnsdienst van de GBA merkt men het: anno 2023 zijn de vragen die binnenkomen steeds meer gekoppeld aan technologie of technische implicaties van verwerkingen, en minder over de juridische principes achter een verwerking. Ook in privacyteams zien we die beweging, een privacyteam met louter juristen gaat zeer snel aanlopen tegen een blinde vlek. De DPO moet al vaak op zoek gaan naar informatie, en zonder degelijke IT-achtergrond wil je nog wel eens met een kluitje in het riet gestuurd worden.
Moet de DPO dan een techneut zijn? Absoluut niet, maar toegang tot onafhankelijke IT-kennis is onontbeerlijk. Onafhankelijk betekent dat degene wiens verwerkingen je moet beoordelen, niet ook degene moet zijn die adviseert over de IT-context van de verwerking. Beschik je zelf of binnen je team niet over IT kennis? Zorg dat je binnen een ander deel van de organisatie aan de benodigde kennis komt, of haal die kennis binnen via een externe partij.
Positie van de DPO: toezichthouder of business partner
Een trend die duidelijk zichtbaar is in Nederland, en die vroeg of laat sowieso overwaait naar België: hoeveel mag de DPO zich met “de business” bezig houden? Recent in Amsterdam en Almere trok de AP aan de bel over de onafhankelijkheid van de DPO. Het is een herkenbaar conflict: aan de ene kant wil je als DPO meedenken met je organisatie en oplossingen aandragen. Tegelijk ben je een interne toezichthouder, waarbij je niet in een positie mag komen dat je toezicht moet houden op verwerkingen waar je eerder over geadviseerd hebt.
In Nederland en internationale bedrijven zien we nu steeds meer dat er naast de DPO ook een CPO (Chief Privacy Officer) wordt aangesteld om die belangenverstrengeling tegen te gaan. De CPO is verantwoordelijk voor het interne privacybeleid, zeg maar de operationalisering van gegevensbescherming binnen de organisatie. De DPO is meer een toezichthouder die op onafhankelijke wijze toezicht moet kunnen houden op alle aspecten van gegevensbescherming in de organisatie.
Binnen de Nederlandse overheid heeft men nu zelfs besloten dat er steeds, naast een DPO / Functionaris voor de Gegevensbescherming, een Chief Privacy Officer moet worden aangesteld. Die CPO zit jammergenoeg nog wel gepositioneerd onder de CIO, maar de scheiding van die rollen is een trend die zeker door zal zetten.
Het ruime takenpakket van de DPO
Informeren, adviseren en toezicht houden op het verwerken van persoonsgegevens zijn sleutelbegrippen die horen bij het takenpakket van de DPO. Onder druk van andere wetgeving over technologie, is het niet ondenkbaar dat bedrijven de rol van de DPO verder uitbreiden. Wat als het manusje-van-alles ook toekijkt op het correct naleven van andere wetgeving zoals regelgeving (en gedragscodes) over Artificiële Intelligentie en misschien in een breder kader, ethische regels over databeheer? Kan de DPO ook een rol spelen in de implementatie van NIS2 gerelateerde verplichtingen? Misschien is de DPO ook geschikt als meldpunt in het kader van de Klokkenluidersregeling?
Bovenstaande voorbeelden tonen aan dat de DPO in de toekomst mogelijk belast wordt met andere, bijkomende taken. Let hierbij wel op:
- Zijn de toegewezen taken niet conflicterend met het takenpakket van DPO? Voer steeds een analyse uit. Analyseer hierbij ook de taken vanuit het oogpunt van verwerken van persoonsgegevens.
- Is de DPO voldoende competent om deze bijkomende taken uit te voeren? Is bijkomende opleiding vereist?
- Heeft de DPO überhaupt tijd hiervoor? Start steeds met een grondige analyse van het takenpakket van de DPO.
* * *
Wilt u op de hoogte blijven van alle trends in de wereld van gegevensbescherming? Schrijf je in voor Stay Tuned of schrijf je in voor een van onze trainingen.
Schrijf je hier in op onze nieuwsbrief voor meer relevante privacyinformatie rechtstreeks in je mailbox!
Datum
30.08.2023
