De inrichting van de DPO-functie

10/02/2020 - In mei is het twee jaar geleden dat de Algemene Verordening Gegevensbescherming (AVG) in werking trad. Eén van de maatregelen die veel organisaties, zowel publiek als commercieel, namen was het aanstellen van een Data Protection Officer (DPO). Voor de meeste organisaties was dit een nieuwe functie. Ook twee jaar na dato zien wij nog steeds dat veel organisaties op zoek zijn naar de juiste inrichting van de functie. DPO’s moeten zich richten op hoe een organisatie met persoonsgegevens omgaat. Toch laat de praktijk geregeld zien dat DPO’s moeilijkheden hebben met de vervulling van hun positie en taken, zoals vastgelegd in Artikel 38 en 39 AVG. Dergelijke problemen ontstaan vaak als DPO’s te werk gaan zonder een gestructureerde aanpak.

Daarom zien we een groeiende behoefte onder DPO’s om onderling praktische kennis en ervaring uit te wisselen en met elkaar te sparren over specifieke vraagstukken die spelen binnen hun organisaties.

De DPO heeft een brede verantwoordelijkheid

DPO’s hebben een divers en uitdagend takenpakket en dragen een brede verantwoordelijkheid. Een DPO draagt namelijk de taak om de verwerkingsverantwoordelijke, de verwerker en de werknemers die persoonsgegevens verwerken te informeren en te adviseren over hun verplichtingen uit de AVG. Daarbij komt dat steeds meer organisaties persoonsgegevens verwerken op basis van complexe constructies en voor sterk uiteenlopende doeleinden. Naast hierover desgevraagd advies te verstrekken, dient de DPO tevens onafhankelijk toezicht te houden op de naleving van de AVG. Hiervoor moet een DPO goed op de hoogte zijn van de verschillende bedrijfsprocessen en ontwikkelingen binnen de organisatie. Kortom, de functie van een DPO is breed en vereist veel kennis van de organisatie.

Privacy Governance Framework

Considerati ziet in de praktijk verschillende constructies als het gaat om de inrichting van de DPO functie. Dit is veelal afhankelijk van het soort organisatie, de manier van besluitvorming en het risico dat gepaard gaat met de verwerking van persoonsgegevens. In alle gevallen is het aan te raden dat een DPO functie binnen een organisatie eenvoudig te bereiken is, via één duidelijk aanspreekpunt en met één aangewezen onafhankelijke beslissing nemer. Toch kan een DPO wel degelijk opereren vanuit een team. Het opstellen van een DPO team of een Privacy team kan in veel gevallen bijdragen aan een betere vervulling van de DPO functie. Zo kan het resulteren in een duidelijkere rol- en taakverdeling in lijn met de Privacy Governance Framework van een organisatie.

Een weloverwogen Privacy Governance Framework biedt een organisatie de mogelijkheid om op een gestructureerde en overzichtelijke manier de verplichtingen uit de AVG toe te passen. Een dergelijke structuur biedt de DPO tevens een rode draad aan de hand waarvan de DPO functie verder kan worden ingericht, bijvoorbeeld door het opstellen van een bijpassend DPO beleid. Een relevante bijkomstigheid is dat de DPO hierdoor aantoonbaar te werk gaat, iets wat ook verslaggeving richting management in de hand werkt.

DPO Ronde Tafel Sessie

In de praktijk komt het geregeld voor dat de DPO ondergesneeuwd wordt met ad hoc vragen of overzicht verliest van interne ontwikkelingen. Zodoende komt men niet altijd toe aan een structurele uitvoering van zijn of haar taken. Het is daarom van uiterst belang dat een DPO werkt aan de hand van een alomvattend framework met een bijhorende rol- en taakverdeling.

Benieuwd naar de ervaring die Considerati hiermee heeft en de oplossingen die DPO’s in de praktijk toepassen? Meld u dan hier aan voor de DPO Ronde Tafel sessie.

Jonathan Toornstra Juridisch Adviseur