Advies en toezicht: het dilemma van de DPO

18/02/2020 - Hoe houd je als DPO toezicht op een organisatie die je ook moet adviseren? De DPO heeft verschillende taken, waaronder het adviseren van de organisatie. Tegelijkertijd moet de DPO toezien op de naleving van de AVG door de organisatie. Dit lijken twee taken die lastig te combineren zijn, een slager keurt immers niet zijn eigen vlees. Toch biedt de combinatie van deze twee taken de mogelijkheid voor de DPO om de organisatie goed te ondersteunen bij de naleving van de AVG. Bij Considerati komen regelmatig DPOs bijeen om ervaringen uit te wisselen, lees hieronder een aantal tips van DPOs ten aanzien van dit dilemma.

Wilt u meepraten over dit onderwerp en de ervaringen van Considerati horen? Kom dan naar ons volgende DPO ronde tafel event.

Kansen

De combinatie van advies en toezichthoudende taken biedt niet alleen uitdagingen, maar ook kansen. De combinatie heeft bijvoorbeeld als voordeel dat u niet alleen achteraf toetst, maar ook in een vroeg stadium betrokken bent bij de ontwikkelingen binnen uw organisatie. Dit kunt u verder bevorderen door het implementeren van procedures over privacy by design en privacy by default, waarbij u vroegtijdig wordt geïnformeerd over (risicovolle) trajecten.

Een ander voordeel is dat u door toezicht op het verwerkingenregister, de organisatie kunt adviseren over tips die afdeling A heeft over een verwerking, die ook bij afdeling B voorkomt. 

Drie tips van DPOs

Omdat de functie van de DPO voor veel organisaties nieuw is, zien wij dat DPOs behoefte hebben om informatie uit te wisselen. Wij brengen daarom regelmatig DPOs bij elkaar om onze kennis te combineren met de kennis van de DPOs. In een eerdere DPO ronde tafel sessie bespraken we het dilemma ‘toezicht versus advies’. Daaruit kwamen onder andere de volgende drie tips:

1. Goede governance is essentieel

Een heldere verankering van de rollen, taken en verantwoordelijkheden van de DPO is essentieel. Hierbij hoort onder andere een directe escalatielijn van de DPO naar de hoogst leidinggevende. Organisaties kunnen dit vastleggen in een privacy governance framework. Het privacy governance framework beschrijft de adviserende-, en toezichthoudende taken van de DPO, en geeft ook aan wat de relatie is van de DPO ten opzichte van de andere privacy rollen binnen de organisatie.

2. Audit

Veel organisaties willen graag weten in hoeverre zij voldoen aan de AVG, welke risico’s de organisatie loopt, en hoe die risico’s het beste weggenomen kunnen worden. DPO’s geven aan dat een audit goed werkt om de toezichthoudende taken uit te voeren. Met een audit wordt via het ‘three lines of defense’ model door de derde lijn toezicht gehouden op de organisatie. Verbeteracties kunnen worden teruggegeven aan de business, en de DPO kan toezicht houden op de verbeteracties. Lees hier hoe Considerati u kan ondersteunen met het uitvoeren van een audit.

3. Peer review

Zoek DPO’s van soortgelijke organisaties op en wissel kennis uit. De functie van DPO is voor veel organisaties nieuw, er valt dus nog veel te leren. DPO’s geven aan dat het nuttig is om kennis uit te wisselen met vakgenoten. Vaak kan dit via brancheverenigingen, bij een privacy congres of via andere kennisgroepen. Eventueel kunt u een andere DPO vragen een ‘peer review’ uit te voeren op uw advies. Op die manier kunt u waarborgen dat uw advies onafhankelijk blijft.

DPO ronde tafel

Wilt u meer tips van andere DPO’s, en de ervaringen van Considerati horen? Kom dan naar onze volgende DPO ronde tafel. Inschrijven is gratis en kan HIER.

Sanne Mulder Senior Juridisch Adviseur