De laatste Stay Tuned sessies van 2024 zijn ondertussen afgerond, een ideaal moment dus om even stil te staan bij een paar belangrijke lessen voor DPO\u2019s. Nu zit iedere Stay Tuned natuurlijk boordevol informatie voor DPO\u2019s, maar we kunnen bepaalde zaken zien waar de GBA steeds op hamert of nieuwe inzichten die leiden tot een aantal concrete punten die de DPO kan toepassen of nakijken.<\/p>\n
<\/p>\n
Mailboxen van vertrekkende medewerkers. <\/strong><\/p>\n Een stokpaardje van de GBA, met ondertussen al minstens 10 zaken waar dit voorbij komt, is hoe je om moet gaan met de mailbox van een vertrokken medewerker. De belangrijkste punten zijn dat de GBA vindt dat mailboxen meteen voorzien moeten worden van een Out Of Office melding (zonder automatisch doorsturen!) en binnen een maand moeten worden verwijderd, uitzonderlijk 3 maanden. Let op, dit zijn \u201cbest practice\u201d insteken van de GBA, uitzonderingen zijn mogelijk maar zorg dat die goed gemotiveerd zijn!<\/p>\n <\/p>\n Tussen haakjes, wie heeft ook het verwijderen van mandaten op overheidswebsites<\/a> (eGov) op de off boarding lijst staan bij vertrek van een medewerker?<\/p>\n <\/p>\n De Inspectie komt en neemt mee\u2026<\/strong><\/p>\n Wel, soms je hele GDPR-administratie: men wilt graag alles zien, inclusief zaken die niet rechtstreeks verband houden met de klacht. En dat mogen ze! Zo kan een klacht over een datalek bij een online platform<\/a> leiden tot vragen over DPIA\u2019s, de aanstelling van de DPO, gepast gegevensbeschermingsbeleid, data protection by design, etc. Een voorbereide DPO telt voor twee!<\/p>\n <\/p>\n Advies over koekjes <\/strong><\/p>\n Beslissingen over cookies bleven ook in 2024 aanhouden<\/a>, en zelfs nog meer dan ooit. De krijtlijnen voor gepast omgaan met cookies zijn ondertussen duidelijk: naast hun eigen checklist<\/a> zijn er ook meerdere zaken in de Geschillenkamer geweest over cookies. Belangrijkste punten: een \u201cweigeren\u201d knop meteen zichtbaar op je cookiebanner, niet in andere kleuren dan de \u201caccepteer alles\u201d knop, uiteraard geen cookies plaatsen voor men een keuze heeft gemaakt en in de footer een eenvoudige link om cookiekeuzes aan te passen.<\/p>\n <\/p>\n Gerechtvaardigd belang <\/strong><\/p>\n Terug van nooit weggeweest, maar de Geschillenkamer heeft ook in 2024 weer een flinke lijst met zaken waar ze uitgebreid het gebruik van gerechtvaardigd belang<\/a> als rechtsgrond overloopt. Meest terugkomende kritiek: de belangenafweging is niet gedocumenteerd. Dus pak je register erbij en kijk na of je belangenafweging beschikbaar is voor verwerkingen die steunen op het gerechtvaardigd belang. Dat hoeft heus geen epistel van 10 pagina\u2019s te zijn, desnoods overloop je in drie korte bulletpoints de essenti\u00eble elementen:<\/p>\n <\/p>\n De DPO ziet toe op naleving\u2026<\/strong><\/p>\n maar de maakt hen er niet verantwoordelijk voor. Excuses zoals \u201cde DPO had een te hoge werkdruk<\/a>\u201d worden uiteraard niet geaccepteerd. Dan moet de verantwoordelijke voor extra middelen zorgen om dit op te vangen en te zorgen dat de GDPR wordt nageleefd. Dat laatste is tenslotte de verantwoordelijkheid van de verantwoordelijke (die term is nu eenmaal niet toevallig gekozen), en niet van de DPO!<\/p>\n <\/p>\n\n