Vanaf 25 mei 2018 geldt in de hele EU de Algemene Verordening Gegevensbescherming (AVG). Eén van nieuwe maatregelen is dat sommige bedrijven een Data Protection Officer moeten aanstellen. Maar wat moet die nieuwe functionaris nu precies doen? De Data Protection Officer van softwareleverancier AEB geeft antwoord op deze vraag en geeft tegelijkertijd een groot aantal algemene tips omtrent de AVG.
Op 25 mei moeten de systemen, processen en procedures van bedrijven in de EU op het gebied van privacy zijn aangepast. Vanaf dat moment is de General Data Protection Regulation (GDPR) oftewel de Algemene Verordening Gegevensbescherming (AVG) van kracht in de hele EU. De media besteden volop aandacht aan de AVG en berichten over groeiende regeldruk en pijnlijke boetes.
Stel een Data Protection Officer aan
Eén van de maatregelen is de aanstelling van een Data Protection Officer (DPO) of in goed Nederland: een Functionaris voor de Gegevensbescherming. De aanstelling van een DPO is verplicht in de volgende gevallen:
- als de organisatie vanwege de aard of de omvang van de activiteiten op grote schaal stelselmatig en periodiek perspersoonsgegevens vergaart en verwerkt.
- indien de organisatie als kernactiviteit heeft om (bijzondere) persoonsgegevens te vergaren en verwerken, denk aan gegevens over gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijk verleden.
- in het geval dat het een overheidsdienst met uitzondering van rechtbanken betreft.
Is uw interne organisatie voorbereid?
Als uw organisatie een DPO moet hebben, dient de volledige interne organisatie daarop voorbereid te zijn. U dient taken en verantwoordelijkheden toe te wijzen en – zeer belangrijk – de betreffende personen te voorzien van de middelen die nodig zijn voor uitvoering van die taken. Het heeft geen zin om een Data Protection Officer te benoemen en hem vervolgens met verkeerde taken te belasten.
Belangrijk blijft dat gegevensbescherming op de agenda van het management staat. De AVG maakt duidelijk dat de Data Protection Officer de opdracht heeft om te adviseren, ondersteunen en controleren. Hij is echter niet degene die bijvoorbeeld de interne organisatie opzet, de procedures onderhoudt of de risico’s analyseert. Dat is een wijdverbreid misverstand. Daarom is het ook zo belangrijk om duidelijkheid te scheppen over de interne organisatie, de taken en verantwoordelijkheden correct te beleggen en adequate procedures te formuleren.
Borg de gegevensbescherming
Met andere woorden: gegevensbescherming moet in de bedrijfsvoering geborgd zijn. Dat is niet alleen belangrijk vanwege de wettelijke verplichting om functies te scheiden, maar heeft ook praktische redenen. De Data Protection Officer kan onmogelijk weten waar overal binnen de organisatie nieuwe databases met persoonsgegevens ontstaan. Hij kan onmogelijk de risico’s inschatten die het gebruik van die gegevens oplevert. Dat geldt in ieder geval voor grote, internationaal opererende bedrijven. Een duidelijke, heldere organisatiestructuur vergroot de slagkracht, juist in aanloop naar de inwerkingtreding van de AVG.
Opleiding is belangrijk
De nieuwe Data Protection Officer heeft een belangrijke taak om de nieuwe verordening te ontleden. En om op elk niveau gepaste maatregelen voor te stellen. Om in de organisatie de juiste condities voor naleving van de verordening te creëren, is bovendien training en opleiding noodzakelijk. Medewerkers hoeven de artikelen en paragrafen uit de AVG niet uit hun hoofd te leren. Ze moeten echter wel ervan doordrongen zijn dat zij een brengplicht hebben en dat de Data Protection Officer niet zelf binnen de organisatie op zoek moet gaan naar de vereiste informatie.
Wie wil starten met het verzamelen van persoonsgegevens – bijvoorbeeld op de HR-afdeling of binnen verkoop en marketing – moet zichzelf eerst de vraag stellen over het doel en de omvang daarvan. Hij moet zelf in een vroegtijdig stadium contact met de Data Protection Officer zoeken en om ondersteuning vragen. Hij kan dan helpen om de juiste maatregelen te nemen. In sommige gevallen kan de uitkomst ook zijn dat het verzamelen van persoonsgegevens wordt afgeraden. Bijvoorbeeld omdat veel onnodige gegevens worden verzameld of omdat ze conflicteren met andere verplichtingen.
Analyseer de consequenties
Daarnaast moeten natuurlijk de consequenties van de nieuwe verordening voor het bedrijf geanalyseerd worden. Een adequaat projectmanagement met planning en met inachtneming van de prioriteiten en betrokken personen is raadzaam. Zaak is om het project op te pakken, de nieuwe verordening serieus te nemen en het positieve aspect van de gegevensbescherming te omarmen. Het gaat om de bescherming van burgers en hun recht om zelf over hun data te beschikken.
Richard Groenendijk, General Manager AEB Nederland