www.marcommit.nlContentbureauwww.lubbersdejong.nlwww.marcommit.nl
2502 volgen @ICTberichten
Deel dit nu
Datum: (2 jaar en 52 dagen geleden)
Bedrijf:
PR: Presscom

Wat is de taak van uw Data Protection Officer precies?

Vanaf 25 mei 2018 geldt in de hele EU de Algemene Verordening Gegevensbescherming (AVG). Eén van nieuwe maatregelen is dat sommige bedrijven een Data Protection Officer moeten aanstellen. Maar wat moet die nieuwe functionaris nu precies doen?

Richard Groenendijk, algemeen directeur van AEB Nederland hierover:

De aanstelling van een DPO is verplicht in de volgende gevallen:
  • als de organisatie vanwege de aard of de omvang van de activiteiten op grote schaal stelselmatig en periodiek perspersoonsgegevens vergaart en verwerkt.
  • als de organisatie als kernactiviteit heeft om (bijzondere) persoonsgegevens te vergaren en verwerken, denk aan gegevens over gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijk verleden.
  • als het een overheidsdienst met uitzondering van rechtbanken betreft.
Is uw interne organisatie voorbereid?
Als uw organisatie een DPO moet hebben, dient de volledige interne organisatie daarop voorbereid te zijn. U dient taken en verantwoordelijkheden toe te wijzen en – zeer belangrijk – de betreffende personen te voorzien van de middelen die nodig zijn voor uitvoering van die taken. Het heeft geen zin om een Data Protection Officer te benoemen en hem vervolgens met verkeerde taken te belasten.

Belangrijk blijft dat gegevensbescherming op de agenda van het management staat. De AVG maakt duidelijk dat de Data Protection Officer de opdracht heeft om te adviseren, ondersteunen en controleren. Hij is echter niet degene die bijvoorbeeld de interne organisatie opzet, de procedures onderhoudt of de risico’s analyseert. Dat is een wijdverbreid misverstand. Daarom is het ook zo belangrijk om duidelijkheid te scheppen over de interne organisatie, de taken en verantwoordelijkheden correct te beleggen en adequate procedures te formuleren.

Met andere woorden: gegevensbescherming moet in de bedrijfsvoering geborgd zijn. Dat is niet alleen belangrijk vanwege de wettelijke verplichting om functies te scheiden, maar heeft ook praktische redenen. De Data Protection Officer kan onmogelijk weten waar overal binnen de organisatie nieuwe databases met persoonsgegevens ontstaan. Hij kan onmogelijk de risico’s inschatten die het gebruik van die gegevens oplevert. Dat geldt in ieder geval voor grote, internationaal opererende bedrijven. Een duidelijke, heldere organisatiestructuur vergroot de slagkracht, juist in aanloop naar de inwerkingtreding van de AVG.

Opleiding is belangrijk
De nieuwe Data Protection Officer heeft een belangrijke taak om de nieuwe verordening te ontleden en op elk niveau gepaste maatregelen voor te stellen. Om in de organisatie de juiste condities voor naleving van de verordening te creëren, is bovendien training en opleiding noodzakelijk. Medewerkers hoeven de artikelen en paragrafen uit de AVG niet uit hun hoofd te leren. Ze moeten echter wel ervan doordrongen zijn dat zij een brengplicht hebben en dat de Data Protection Officer niet zelf binnen de organisatie op zoek moet gaan naar de vereiste informatie.

Wie wil starten met het verzamelen van persoonsgegevens – bijvoorbeeld op de HR-afdeling of binnen verkoop en marketing – moet zichzelf eerst de vraag stellen over het doel en de omvang daarvan. Hij moet zelf in een vroegtijdig stadium contact met de Data Protection Officer zoeken en om ondersteuning vragen. Hij kan dan helpen om de juiste maatregelen te nemen. In sommige gevallen kan de uitkomst ook zijn dat het verzamelen van persoonsgegevens wordt afgeraden. Bijvoorbeeld omdat veel onnodige gegevens worden verzameld of omdat ze conflicteren met andere verplichtingen.

Daarnaast moeten natuurlijk de consequenties van de nieuwe verordening voor het bedrijf geanalyseerd worden. Een adequaat projectmanagement met planning en met inachtneming van de prioriteiten en betrokken personen is raadzaam. Zaak is om het project op te pakken, de nieuwe verordening serieus te nemen en het positieve aspect van de gegevensbescherming te omarmen. Het gaat om de bescherming van burgers en hun recht om zelf over hun data te beschikken.

Negen tips voor implementatie van de AVG

  1. Organiseer de gegevensbescherming: verdeel taken en verantwoordelijkheden, maak iemand verantwoordelijk in het topmanagement, zorg voor borging in de organisatie en voor training en opleiding.

  2. Maak een takenlijst en blijf die onderhouden en updaten.

  3. Stel standaardprocessen op, bijvoorbeeld voor het opstellen van procedures voor het verzamelen en verwerken van data. Daarin kunt u ook de vereiste risicoanalyse inbouwen. Dat scheelt aan het einde tijd.

  4. Investeer in een geschikt internetportaal, waar u procedures, handleidingen en templates beschikbaar kunt stellen. En stel ter begeleiding een aantal mededelingen op voor de medewerkers, het liefst afgestemd op de afdeling of functie. Marketing heeft immers een ander opvatting over het belang van gegevensbescherming dan bijvoorbeeld de IT- of HR-afdeling. Wie daarmee rekening houdt, bespaart zich later veel moeite.

  5. Actualiseer de bestaande procedures (= Register van verwerkingsactiviteiten conform Artikel 30 uit de AVG) of geef in ieder geval de aanzet daartoe. Overweeg om de nieuwe richtlijnen bij het inschatten van de risico’s meteen daarin mee te nemen.

  6. Actualiseer de contracten met handelspartners over de verwerking van ordergegevens. Voor verschillende sectoren zijn modelovereenkomsten beschikbaar.

  7. Actualiseer de privacyverklaring. Op de juiste plekken moet u in staat zijn op verzoek van betrokkenen de vereiste informatie te verstrekken. Let niet alleen op juridisch correcte bewoordingen, maar ook op helder en duidelijk taalgebruik die uw doelgroep begrijpt. Ook een onwetende internetsurfer moet uw boodschap begrijpen voor zover het zijn data betreft.

  8. Toets uw internationale activiteiten. De verschillende nationale interpretaties van de GDPR kunnen bijvoorbeeld verdere inspanningen vereisen.

  9. Documenteren, documenteren, documenteren… Wees ook op dit punt transparant. U vergroot daarmee uw kansen als autoriteiten komen controleren in hoeverre u aan de nieuwe wetgeving voldoet. De vraag of bepaalde persoonsgegevens noodzakelijk zijn, kunt u positief beantwoorden als u afstand doet van verouderde processen en data. U voldoet dan aan het ideaal van een organisatie die zo weinig mogelijk data verzamelt. Als u dat kunt bewijzen, maakt u goede kans.



3 misverstanden over gegevensbescherming

1. De Data Protection Officer is overal voor verantwoordelijk. Daarvoor is hij tenslotte aangesteld.

Hier geldt het principe van functiescheiding. Artikel 39 van de GDPR omschrijft in heldere bewoordingen de taken van de Data Protection Officer.
  • Informeren en adviseren van de directie
  • Controleren (op de naleving van de AVG)
  • Adviseren op aanvraag
  • Samenwerken met de autoriteiten
Veel zaken die in de praktijk als haalplicht van de Data Protection Officer worden beschouwd, worden in de wetgeving juist als brengplicht aangemerkt. Het topmanagement of de betrokken afdelingen moeten daarvoor zorgen. Zij dienen verantwoord met persoonsgegevens om te gaan.

2. Gegevensbescherming is alleen maar lastig.
Het kan kloppen dat gegevensbescherming niet nadrukkelijk bijdraagt aan de fun factor binnen het bedrijf. Maar de AVG beschermt personen. Dat betreft uw medewerkers, uw handelspartners, uw prospects, uw websitebezoekers en – niet in de laatste plaats – uzelf. Wie gegevensbescherming serieus neemt en goed voorbereid is, zal merken dat naleving van de nieuwe wetgeving juist een concurrentievoordeel kan zijn.

3. Ik moet de allernieuwste technologie inzetten.
Dat is niet per definitie het geval. De AVG noemt in Artikel 32 het begrip ‘stand der techniek’. Dat is volgens algemene opvattingen een milde omschrijving, die niet alleen duidt op moderne maar ook op bewezen oplossingen. De ‘stand der techniek’ is een criterium dat naast andere criteria als implementatiekosten en risico-analyse geldt.



De algemene geboden voor gegevensbescherming

Legitimiteit checken
Stemt de betrokkene toe – en wordt hij vooraf juist geïnformeerd? Is er een zakelijk doel dat duidelijk voorrang heeft boven de privacybelangen van de betrokkene? Is er geen ander manier om dat doel te bereiken? Zijn er contractuele of wettelijke verplichtingen? Als dat niet het geval is, wordt het lastig om geldige argumenten te benoemen. Aan deze voorwaarden moet ook intern worden voldaan, wanneer ook maar overwogen wordt persoonsgegevens vast te leggen.

Documentatie, verantwoording
Leg vast wat u doet en waarom u dat doet. Omschrijf de argumenten waarop uw beslissingen zijn gebaseerd. In de meeste gevallen zal de Data Protection Officer de wettelijke voorschriften kennen, maar ook relevante websites bieden soms uitkomst. Benut daarbij zo mogelijk ook de verder gebruikte documentatie. Leg ieders taken en verantwoordelijkheden vast.

Datasecurity
Om persoonsgegevens adequaat te kunnen beschermen zijn ook maatregelen op het gebied van datasecurity vereist. De maatregelen moeten waarborgen dat de data – rekening houdend met de stand der techniek – goed zijn beschermd. Als u gegevens verwerkt in opdracht van klanten, kunnen zij inzage in de maatregelen opeisen. Wie als dataverwerker veel klanten heeft, doet er goed om over relevante certificaten na te denken.

Doelgroep zijn de personen wiens gegevens verzameld, verwerkt en gebruikt worden
De betrokkenen hebben er belang bij dat hun data tegen misbruik zijn beschermd. Als gevolg van de AVG krijgen zij bepaalde rechten. Rechten op informatie over, op verandering van of zelfs verwijdering van data. Bedrijven hebben een informatieplicht richting de betrokken personen.

Dataminimalisatie in relatie tot gebruik
Persoonsgegevens mogen alleen worden verzameld en verwerkt als daarvoor een grondige reden bestaat en als daarvoor toestemming is gegeven. Voorkom dat u data verzameld die niet strikt noodzakelijk zijn, ook vanwege de daaraan gekoppelde inspanningen. De kans bestaat dat de controle daarop in handen wordt gelegd van de betrokken partijen zelf. Dit gebod is ook de aanleiding voor de volgende principes (Artikel 25 in de AVG): 
  • Privacy-by-design (Gegevensbescherming door ontwerp)
  • Privacy-by-default (Gegevens bescherming door standaardinstellingen)
Laatste van AEB  
TCM van AEB: met nieuwe digitale tool Risk Assessment

Goederenvervoer naar en vanuit het VK in 2020; het complete beeld

Compliance risico’s in internationale handel nu nog eerder te ondervangen met nieuwe digitale tool
Geplaatst:
Verstreken tijd: 2 jaar en 52 dagen
PR contact  

Logo Presscom
AEB contact  

Logo AEB

  +31 88 3131700
  info.nl@aeb.com
  www.aeb.com/nl
AEB sociaal  


AEB tweets  

Marcommit is hét full service B2B marketing bureau van Nederland! Wij helpen jouw bedrijf met offline en online marketing campagnes die écht werken.
 Spotlight  
Logo Distology Nederland B.V.
Logo ID Control
Logo Korton Group
Logo QuandaGo
Logo Relined Fiber Network
Logo Avinty (GGZ)
Logo QuandaGo
Logo iQibt B.V.
Logo Heliview Conferences & Training
Logo Solmate
Logo Distology Nederland B.V.
Logo TRADUS
Logo Coastr
Logo ID Control
Logo QuandaGo
Logo PlanMen
Logo Guardian360 bv
Logo Frontline Solutions
Logo Boys with Brains
Logo Broad Horizon
Logo Unexus B.V.
Logo Boys with Brains
Logo PayIBAN BV
Logo iQibt B.V.
Logo Orange Cyberdefense Netherlands B.V.
Logo Software Improvement Group (SIG)
Logo PlanMen
Logo SCOS Software bv
Logo Spryng
Logo Frontline Solutions
Logo Dell Boomi
Logo Rubix
Logo OutSystems
Logo Qualys
Logo myBrand
Logo Arlington Research
Logo Unit4
Logo IFS
Logo CRM Partners
Logo Zyxel
Logo Conclusion
Logo Intel
Logo Solipsis b.v.
Logo SAP Concur
Logo Conclusion Zuyd
Tarieven
Publicatie eenmalig €49

Publicatiebundels
- 6 publicaties €199
- 12 publicaties €349
- Onbeperkt €499

Direct doen
- Persbericht aanleveren
- Publicatieabonnement
Contact
Persberichten.com
JMInternet
Kuyperstraat 48
7942 BR Meppel
Nederland
info@persberichten.com
KvK 54178096

Volg @ICTberichten
- Twitter

Zoek
- IT bedrijf
- IT PR-bureau
Over ons
Persberichten.com is hèt persberichten platform voor de IT-sector

In de database
- 88829 persberichten
- 5742 bedrijfsprofielen
- 59 PR-bureauprofielen
- 8400 tags

Publicatiekenmerken
- Rijke tekstopmaak
- Responsieve weergave
- Met foto/illustratie/logo
- Met downloadbare bijlages
- Met bedrijfsprofiel
 
www.marcommit.nlwww.LVTPR.comwww.lubbersdejong.nlwww.marcommit.nl