Nederland
Bel ons

DPO, Privacy Officer, Privacy Steward: wat is het verschil?

  • Home
  • Kennisbank
  • DPO, Privacy Officer, Privacy Steward: wat is het verschil?

25/08/2023 - In aanloop naar de GDPR haastten Europese bedrijven zich om functionarissen voor gegevensbescherming aan te stellen om boetes voor niet-naleving van de komende regelgeving te ontlopen. Sindsdien hebben privacy en gegevensbescherming meer aandacht gekregen in bedrijven van alle soorten en maten. Bovendien zijn er wereldwijd nieuwe privacywetten gekomen, waardoor er behoefte is ontstaan aan privacyprofessionals.

Als gevolg daarvan hebben veel organisaties uitgebreidere privacy compliance programma's ontwikkeld en hebben we meerdere nieuwe privacygerichte functies zien ontstaan. Het onderscheid tussen deze verschillende privacyfuncties is voor veel organisaties niet altijd duidelijk. Moet jouw organisatie een DPO, Privacy Officer of beide aannemen? In deze blog leggen we het verschil uit tussen de drie meest voorkomende categorieën privacyfuncties, zodat je een beter geïnformeerde beslissing kunt nemen bij het opzetten van je eigen privacy- en gegevensbeschermingsteams.  

We zullen de rollen bespreken:  

  1. Functionaris voor gegevensbescherming ("DPO")  
  2. Privacyfunctionaris ("PO") 
  3. Privacy beheerder 

 

Functionaris voor gegevensbescherming ("DPO")  

De rol van DPO is de enige functie die expliciet wordt genoemd in de GDPR. Alleen overheidsorganisaties, organisaties die grote hoeveelheden gevoelige gegevens verwerken en organisaties die zich bezighouden met het op grote schaal monitoren van betrokkenen, zijn wettelijk verplicht om een DPO aan te stellen. Hoe dan ook, de meeste organisaties benoemen een primair privacy aanspreekpunt, en veel organisaties kiezen ervoor om een DPO aan te stellen voor dit doel.  

De primaire verantwoordelijkheden van een DPO omvatten:  

  • Organisaties en hun werknemers adviseren over hun verplichtingen onder de wetgeving inzake gegevensbescherming 
  • Toezicht houden op de naleving van de privacy-/gegevensbeschermingswetgeving, waaronder audits, het vergroten van het privacybewustzijn en het trainen van personeel in hun privacyverplichtingen  
  • Het geven van advies aan het bedrijf en het uitvoeren en/of beoordelen van Data Protection Impact Assessments (DPIA's) 
  • Fungeren als contactpunt voor betrokkenen die verzoeken indienen met betrekking tot de verwerking van hun persoonsgegevens of bij de uitoefening van hun privacyrechten  
  • Optreden als het belangrijkste contactpunt van het bedrijf met de gegevensbeschermingsautoriteiten. 

DPO's werken onafhankelijk. Hun onafhankelijkheid is wettelijk gegarandeerd in termen van de GDPR. Daarnaast zijn ze wettelijk beschermd tegen ontslag.  

Meer informatie over de onafhankelijkheid van DPO's en hun ontslagbescherming vind je in onze blog over DPO's vs. PO's. In werkelijkheid is de DPO niet eindverantwoordelijk voor de naleving van privacy- en gegevensbeschermingsregels. Afhankelijk van de organisatie ligt die verantwoordelijkheid bij het bestuur of het relevante managementteam. De rol van de DPO is om het management in dit opzicht te adviseren. DPO's kunnen niet direct betrokken zijn bij de besluitvorming over de gegevensverwerkingsactiviteiten van een organisatie. Door hun onafhankelijkheid kunnen ze objectief advies geven aan het bedrijf zonder betrokken te zijn bij de dagelijkse privacygerelateerde activiteiten. Personen die de rol van DPO vervullen, hebben vaak een juridische achtergrond en moeten experts zijn op het gebied van privacy- en gegevensbeschermingswetgeving.

 

Privacyfunctionaris ("PO")  

In tegenstelling tot de DPO is de rol van PO niet wettelijk verplicht of gedefinieerd in de GDPR. Bijgevolg hebben organisaties meer vrijheid om de vereisten van deze functie af te stemmen op de specifieke behoeften van hun organisatie. Organisaties kunnen ook verschillende titels gebruiken om naar deze functie te verwijzen. Alternatieve titels zijn onder andere: Chief Privacy Officer, Corporate Privacy Officer, Privacy Counsel, Data Protection Manager en Data Protection Lead, dit is geheel naar eigen inzicht van de organisatie. Grotere organisaties zullen vaak een Chief Privacy Officer of Corporate Privacy Officer aanstellen, die wordt ondersteund door andere Privacy Officers die samen het Privacy Team van de organisatie vormen. Ongeacht de benaming die een organisatie kiest, zal de PO meestal de belangrijkste drijvende kracht zijn achter de dagelijkse privacyactiviteiten. 

PO's werken nauw samen met het bedrijf en zijn direct betrokken bij het implementeren van privacyoplossingen en het afhandelen van gegevensbeschermingskwesties binnen het bedrijf. PO's kunnen direct betrokken zijn bij de besluitvorming van een organisatie over gegevensverwerkingsactiviteiten, ze kunnen de belangen van een organisatie op het gebied van gegevensverwerking vertegenwoordigen en actief meewerken aan het ontwikkelen van organisatorische oplossingen voor problemen met gegevensbescherming. Typische taken van een PO kunnen zijn:  

  • Opstellen van relevant privacybeleid voor het bedrijf  
  • Verwerking van verzoeken van betrokkenen 
  • Het bijhouden of opstellen van een register van verwerkingsactiviteiten voor organisaties 
  • Reageren op beveiligingsincidenten en inbreuken op persoonsgegevens 
  • Privacybeoordelingen uitvoeren binnen het bedrijf  

De taken van een PO verschillen per organisatie, maar over het algemeen zijn ze de eerste verdedigingslinie van een organisatie als het gaat om privacy- en gegevensbeschermingskwesties. PO's spelen een actievere operationele rol in vergelijking met de adviserende rol van een DPO.  

 

Privacybeheerders  

Dit is de minst gedefinieerde rol. Bijgevolg kunnen de precieze functie en verantwoordelijkheid van een Privacy Steward aanzienlijk verschillen van organisatie tot organisatie. Net als bij PO's kunnen organisaties ook verschillende namen gebruiken wanneer ze naar Privacy Stewards verwijzen, zoals: Privacy Champions of Privacy Ambassadors.  

Privacy Stewards kunnen worden omschreven als de "boots on the ground" van een organisatie als het gaat om privacykwesties. Ze fungeren als een belangrijke schakel tussen het bedrijf en de andere privacyfuncties die hierboven zijn genoemd. Ze spelen een belangrijke rol in het waarschuwen van de DPO of PO voor privacygerelateerde behoeften of problemen binnen de organisatie. 

Meestal wordt de rol van privacy steward toegewezen aan een bestaande werknemer binnen die organisatie. In tegenstelling tot een PO is hun primaire functie misschien niet privacygerelateerd, maar in hun rol als privacysteward verbinden ze de PO of DPO met dat deel van het bedrijf. Het is bijvoorbeeld gebruikelijk geworden voor grotere organisaties om een Privacy Steward aan te stellen per afdeling of functie van het bedrijf. Die Privacy Steward kan dan fungeren als het eerste contactpunt voor de DPO of PO in de communicatie met het bedrijf en kan helpen bij het signaleren van mogelijke problemen. Privacy Stewards spelen vaak ook een rol in het vergroten van het privacybewustzijn binnen een organisatie en het up-to-date houden van de ROPA.  

In tegenstelling tot een DPO of PO is een Privacy Steward niet noodzakelijk iemand met een juridische of beveiligingsachtergrond. Ze worden getraind in de relevante privacy- en gegevensbeschermingsstandaarden die relevant zijn voor hun bedrijf en werken nauw samen met de DPO en/of PO. 

Jonathan Schwartz Legal Consultant

Contact

schwartz@considerati.com +31 (0) 628087096

Wat is de juiste rol voor uw organisatie?

Heeft deze blog uw keuze duidelijker gemaakt? Zo ja, Considerati biedt een (externe) DPO aan als een dienst, en onze consultants kunnen ook werken als PO's binnen uw organisatie. Neem contact met ons op als u hulp nodig heeft bij uw privacybehoeften.