Functionaris voor gegevensbescherming – DPO

Wat is een functionaris voor gegevensbescherming?

Een functionaris voor gegevensbescherming (DPO) is een functie binnen een bedrijf die optreedt als een onafhankelijke pleitbezorger voor de juiste zorg voor en gebruik van de informatie van de klant. De rol van een functionaris voor gegevensbescherming is formeel vastgelegd door de Europese Unie als onderdeel van haar Algemene Verordening Gegevensbescherming (AVG). Volgens de verordening moeten alle bedrijven die goederen of diensten op de markt brengen aan klanten binnen de Europese Unie en als gevolg daarvan gegevens verzamelen, een functionaris voor gegevensbescherming aanstellen. De functionaris voor gegevensbescherming houdt de wetten en praktijken op het gebied van gegevensbescherming bij, voert intern privacybeoordelingen uit en zorgt ervoor dat alle andere nalevingskwesties met betrekking tot gegevens up-to-date zijn. Hoewel de EU-wetgeving aanleiding geeft tot het creëren van functies voor gegevensbeschermingsfunctionarissen, kijken andere landen naar gegevensprivacykwesties en kunnen vergelijkbare rollen nodig zijn door middel van bijgewerkte regelgeving.1

Functionaris voor gegevensbescherming uitgelegd

De aanstelling van een functionaris voor gegevensbescherming (DPO) is een van de belangrijkste vereisten voor bedrijven die zaken doen in de EU, en de AVG is uiteraard een belangrijk stuk wetgeving. De DPO zorgt ervoor dat een bedrijf voldoet aan de doelstellingen van de AVG en andere relevante wetgeving. Dit omvat het instellen van verdedigbare bewaartermijnen voor persoonlijke gegevens, het autoriseren van specifieke workflows waarmee toegang tot gegevens mogelijk is, het schetsen hoe bewaarde gegevens anoniem worden gemaakt en het vervolgens controleren van al deze systemen om ervoor te zorgen dat ze werken om persoonlijke klantgegevens te beschermen.

Dit is een grote klus, en bij grotere bedrijven kan de rol van de DPO een kantoor vol personeel vereisen in plaats van één persoon. In kleinere organisaties kan de Chief Information Security Officer (CISO) worden opgeroepen om beide hoeden te dragen. Het idee om professionele DPO’s te laten controleren op naleving van verschillende bedrijven, is ook opgedoken – vergelijkbaar met het uitbesteden van financiële rapportage aan een accountantskantoor. 

Functionaris voor gegevensbescherming versus andere gegevensrollen

De functies van Chief Information Officer (CIO), CISO of Chief Data Officer die al bij veel bedrijven bestaan, zijn fundamenteel anders dan wat wordt verwacht in de rol van functionaris voor gegevensbescherming. Deze rollen hebben doorgaans te maken met het veilig houden van de gegevens van een bedrijf en ervoor te zorgen dat deze schat aan gegevens wordt benut om de bedrijfsfuncties in het hele bedrijf te verbeteren. De functionaris voor gegevensbescherming werkt namens de privacy van de klant. Als gevolg hiervan zullen veel van de aanbevelingen van een functionaris voor gegevensbescherming in strijd zijn met de doelstellingen van andere gegevensrollen.

In plaats van voor onbepaalde tijd waardevolle gegevens vast te houden of inzichten die in de ene business line zijn verzameld te gebruiken om een ​​andere te informeren, zal de functionaris voor gegevensbescherming er zijn om ervoor te zorgen dat alleen de minimale gegevens die nodig zijn om een ​​transactie te voltooien, worden verzameld en bewaard. De AVG creëert een sterke vraag naar functionarissen voor gegevensbescherming, maar het maakt hun werk niet gemakkelijk.