Wat zijn de taken van een Data Protection Officer

Welke vereisten worden aan een Data Protection Officer gesteld?
september 6, 2016
Data Protection Officer: vrouwen aan de macht!
maart 19, 2019
Show all

Wat zijn de taken van een Data Protection Officer

1.1 Kader: de technologie neutrale wetgeving (GDPR)

Betrokkenen kunnen met de DPO contact opnemen over alle aangelegenheden die verband houden met de verwerking van de gegevens van de betrokkene en met de uitoefening van hun rechten uit hoofde van deze verordening.

Op basis van de GDPR worden volgende taken aan de DPO toebedeeld:

  1. de verwerkingsverantwoordelijke of de verwerker en de werknemers die verwerken, informeren en adviseren over hun verplichtingen uit hoofde van deze verordening en andere Unierechtelijke of lidstaatrechtelijke gegevensbeschermingsbepalingen;
  1. toezien op naleving van deze verordening, van andere Unierechtelijke of lidstaatrechtelijke gegevensbeschermingsbepalingen en van het beleid van de verwerkingsverantwoordelijke of de verwerker met betrekking tot de bescherming van persoonsgegevens, met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het bij de verwerking betrokken personeel en de betreffende audits;
  1. desgevraagd advies verstrekken met betrekking tot de gegevensbeschermingseffect-beoordeling en toezien op de uitvoering daarvan in overeenstemming met artikel 35;
  1. met de toezichthoudende autoriteit samenwerken;
  1. optreden als contactpunt voor de toezichthoudende autoriteit inzake met verwerking verband houdende aangelegenheden, met inbegrip van de in artikel 36 bedoelde voorafgaande raadpleging, en, waar passend, overleg plegen over enige andere aangelegenheid.

Bij de uitvoering van deze taken houdt de functionaris voor gegevensbescherming naar behoren rekening met het aan verwerkingen verbonden risico, en met de aard, de omvang, de context en de verwerkingsdoeleinden.

Praktijk:

In de praktijk is de rol van de DPO meer uitgesponnen dan wat blijkt uit de bovenstaande oplijsting van taken. Globaal ziet de DPO toe op de eerlijke en wettelijke verwerking met inbegrip van de finaliteit en proportionaliteit van de verwerking van volledige en nauwkeurige gegevens. Dit gebeurt op een onafhankelijke wijze en met betrekking tot elke verwerking van gegevens binnen de onderneming, waaronder onder meer de HR, marketing en IT-departement vallen. Verder is hij betrokken bij de uitwerking van een ‘Information Security Policy’, of privacy beleid, en het veiligheidsplan.

Dit gaat veel verder dan het zuivere box ticking:

Met behulp van gepaste technische en organisatorische maatregelen beschermt de DPO persoonsgegevens tegen toevallige of ongeoorloofde vernietiging, tegen toevallig verlies, evenals tegen de wijziging van of de toegang tot, en iedere andere niet toegelaten verwerking van persoonsgegevens.

De classificatie en het beheer van de gevoelige gegevens, waarbij gegevensstromen en mogelijke risico’s in kaart worden gebracht, is het startpunt van waaruit de DPO de gegevensbescherming verzekert. De bescherming beperkt zich niet tot een fysieke beveiliging van gegevens, ook medewerkers gerelateerde veiligheid en logische toegangsbeveiliging vallen onder zijn toezicht. Periodieke audits en compliance checks met de alsmaar veranderende systemen en wetgevingen zijn hierbij onontbeerlijk. Verder staat de DPO ook in bij de formaliteiten die komen kijken bij de gegevensverwerking: aangiften en machtigingen.

 

Samengevat bekleedt de DPO een gevarieerde rol: hij is zowel het vertrouwelijke aanspreekpunt als de waakhond binnen de organisatie, en dit op het technische én juridische vlak. Deze verschillende elementen vormen de spil van onze cursussen.

 

De verschillende opleidingen worden aangepast om tegemoet te komen aan de specifieke verwachtingen van uw organisatie.

 

De Data Protection certificatie training start vanuit de Belgische en Europese wetgeving rond gegevensbescherming en verdiept de deelnemers daarna in het werk van de DPO in de praktijk. Hierbij wordt aandacht besteed aan het privacybeleid en het informatieveiligheidsplan. Verder wordt een inleiding tot toegepaste cryptografie gedoceerd. Ook Privacy en HR, alsook de omgang met verwerkers en personeel, en de omgang met persoonsgegevens in een internationale context komen aan bod. Tot slot worden de deelnemers vertrouwd gemaakt met de werking van PIA’s, audits en incident management. Deelnemers worden verondersteld over een degelijke basiskennis van zowel de technische als juridische begrippen en concepten te beschikken.

 

De inleidende cursus tot Data Protection focust op de toepasselijke wetgeving en het werk van de DPO in de praktijk. Ook de volgende onderwerpen worden uitgelicht: Zijn rollen binnen de organisatie, het uitwerken van een privacybeleid en het ontwerpen van een informatieveiligheidsplan worden daarbij uitgelicht. Deze opleiding is geschikt voor personen die niet vertrouwd zijn met de rollen van de DPO in het kader van de relevante wetgeving.

 

De opleiding voor IT-ers is geschikt voor elke IT medewerker die de noties van veilig verwerken van persoonsgegevens onder de knie wil krijgen om zo op efficiënte manier met de DPO te communiceren. Deze cursus speelt ook in op de wetgeving, maar ze behandelt in meerdere mate de technische implicaties van deze wetgeving.