Wat heeft jullie organisatie nodig, een DPO of een Privacy Officer?
Dit zijn veelgehoorde vragen, maar wanneer stel je nu een DPO aan? En wat is de toegevoegde waarde van een Privacy Officer?
Alleen organisaties die op grote schaal bijzondere persoonsgegevens verwerken, op grote schaal de openbare ruimte monitoren en publieke organisaties dienen wettelijk een DPO aan te stellen.
Maar het verdient de sterke aanbeveling voor elke organisatie om een privacy aanspreekpunt aan te wijzen, zodat de bescherming van persoonsgegevens en de privacy van uw medewerkers, klanten en bezoekers goed geborgd is. Dat kan een DPO zijn, maar ook een PO (of andere benaming) of een combinatie van deze functies.
Wettelijke verplichting tot het aanstellen van een DPO
Niet alleen organisaties die hiertoe wettelijk verplicht zijn, kunnen een DPO aanstellen, maar ook alle andere organisaties. Op het moment dat je dit doet, moet wel worden voldaan aan alle vereisten uit de AVG ten aanzien van de DPO.
De taak van de DPO is om toe te zien op de opzet en naleving van het privacybeleid en de AVG binnen de organisatie. En om, waar relevant, te adviseren over alles op het gebied van de bescherming van persoonsgegevens. Het is een misvatting dat de DPO eindverantwoordelijk is voor de naleving van de regels omtrent privacy en de bescherming van persoonsgegevens. De DPO dient namelijk volledig onafhankelijk toezicht te houden en te adviseren. Het bestuur, de directie of managementteam van organisaties is eindverantwoordelijk voor de naleving van de wet- en regelgeving, ook op het gebied van privacy en de bescherming van persoonsgegevens.
Deze onafhankelijkheid is wettelijk als volgt geborgd:
- De DPO mag geen instructies krijgen over de uitoefening van zijn of haar taak.
- Ontslag of het opleggen van sancties naar aanleiding van de uitvoering van de taken van de DPO is niet toegestaan, alleen bij niet of slecht functioneren kunnen maatregelen tegen de DPO worden genomen.
- De DPO moet de middelen, tijd en toegang tot systemen hebben om zijn of haar taak goed uit te kunnen voeren.
- De DPO mag geen nevenfuncties bekleden die eventueel kunnen leiden tot belangenconflicten.
De Privacy Officer (PO) of vergelijkbare functie
Het is voor organisaties die op basis van de AVG niet verplicht zijn een DPO aan te stellen en dit ook niet willen, vaak toch verstandig om iemand aan te wijzen als aanspreekpunt voor alle privacy gerelateerde zaken. Een veelgehoorde term voor deze persoon is de Privacy Officer (PO), maar er zijn veel andere termen mogelijk. De rol van de PO is niet wettelijk vastgelegd. Organisaties zijn dus vrij om deze rol in te vullen naar de eigen wensen. Maar in veel organisaties heeft het meerwaarde om iemand aan te wijzen die fungeert als eerste aanspreekpunt bij vragen van medewerkers en bijvoorbeeld om datalekken af te handelen en om verzoeken van betrokkenen op te pakken.
Kan een organisatie zowel een DPO als Privacy Officer aanstellen?
In sommige, vooral grote, organisaties, kan het voorkomen dat er zowel een DPO moet worden aangesteld of wordt aangesteld, maar dat er aanvullende capaciteit nodig is. De functie van PO kan hier soelaas bieden. Zo kan de PO binnen een afdeling bepaalde zaken op zich nemen. Denk dan aan het begeleiden van een Data Protection Impact Assessment of het deelnemen aan een projectteam. Zo is privacy al vanaf de beginfase onderdeel van de nieuwe dienst of product (Privacy by Design).
Heeft jouw organisatie nog geen DPO of PO aangesteld of vragen over de privacy governance voor jouw organisatie? Wij bieden (externe) DPO als dienstverlening aan en kunnen ook als PO bij jouw organisatie aan de slag. Neem dus gerust contact met ons op om de mogelijkheden te bespreken.
