Een goede DPO is een luie DPO

Een goede DPO is een luie DPO. We gebruiken de boutade al wel eens tijdens een opleiding voor DPO’s. Laten we even uitleggen waarom we rotsvast in deze stelling geloven.

Bij het opstellen van de GDPR regelgeving werd snel duidelijk dat de wetgever de naleving van de regels rond het verwerken van persoonsgegevens wou afdwingen aan de hand van een verscherpt toezicht. Dit resulteerde in België in de oprichting van de Gegevensbeschermingsautoriteit en in Vlaanderen de Vlaamse Toezichtcommissie. Bovenop dit toezicht door een onafhankelijk orgaan, voorziet de regelgever ook een ‘lokaal toezicht’ onder de vorm van een DPO. Bedrijven die aan bepaalde voorwaarden voldoen, dienen een DPO aan te stellen. Uiteraard kan dit een team van mensen zijn die deze rol opnemen, maar strikt genomen volstaat het dat één persoon deze functie invult.

Het werkgebied van een DPO is breed: hij of zij geeft adviezen en houdt toezicht op alle verwerkingsactiviteiten met persoonsgegevens binnen de organisatie, zowel van klanten, personeelsleden als andere stakeholders. Dat kan dus snel over een gigantische hoeveelheid gegevens en verwerkingsprocessen gaan. Quid een luie DPO is een goede DPO?

Als enkeling in een grote organisatie red je het niet om van alle verwerkingsactiviteiten voldoende op de hoogte te zijn en daarbovenop, vanuit een onafhankelijke positie, advies te geven en toezicht te houden. Stel je maar eens voor dat een DPO in een ziekenhuis of een telecommaatschappij op de hoogte moet zijn van alle innovaties en wijzigingen die plaatsvinden binnen de organisatie. Dat lijkt een onmogelijke opdracht. De uitspraak ‘een goede DPO is een luie DPO’ verwijst daarom naar de taak van de DPO als coach en trainer. De GDPR tekst verwijst naar deze taak door te stellen dat de DPO het bedrijf en haar werknemers moet informeren over hun verplichtingen.

Als je deze taak nader bekijkt betekent dit dat de DPO de GDPR regels vertaalt naar de realiteit van de medewerkers en hen informeert hoe zij hun taken in het kader van GDPR correct kunnen uitvoeren. Hoe beter de medewerkers hun taken en verplichtingen kennen, hoe minder werk de DPO heeft om al deze verplichtingen telkens opnieuw te analyseren, uit te leggen en controleren. Wanneer de personeelsleden goed op de hoogte zijn en de instructies correct uitvoeren, heeft de DPO dus minder werk.

Om correct om te gaan met de informerende taak dient de DPO werk te maken van een opleidingsplan binnen de organisatie. Zoals een goed plan het vereist, dienen de leerdoelen en de juiste vorm en timing van de training op voorhand worden vastgelegd en is de juiste didactiek nodig om de boodschap begrijpbaar over te brengen. Na het opleidingstraject dienen de leerdoelen te worden geëvalueerd bij de personeelsleden en dient de kennis te worden gemonitord.

DPI kan helpen bij deze taak en dit op twee manieren.

1. Volg onze vijfdaagse Data Protection Officer Certificatie Training en ontdek wat het betekent om een (luie) DPO te zijn.
2. Of ben je op zoek naar een goede aanpak voor jouw in-house training? Wij helpen je graag verder.