De rol van Functionaris Gegevensbescherming (FG) is een beveiligingsfunctie en is een vereiste per de Algemene Verordening Gegevensbescherming (AVG) en de Braziliaanse Lei Geral de Proteção de Dados (LGPD). Het is redelijk om te verwachten dat de Verenigde Staten de komende jaren een eigen versie van de AVG zullen ontwikkelen. Veel ondernemingen die internetzaken in Europa doen, hebben een functionaris voor gegevensbescherming moeten inhuren. Deze personen zijn verantwoordelijk voor het toezicht op de gegevensbeschermingsstrategieën en voor het waarborgen van de naleving van de artikelen 37, 38 en 39 van de AVG. Alle bedrijven die de persoonsgegevens van EU-burgers verzamelen of verwerken, zijn op grond van artikel 37 verplicht om een DPO te hebben.
Een functionaris voor gegevensbescherming is ook verantwoordelijk voor het trainen en opleiden van management en personeel in het belang van nalevingsvereisten en het uitvoeren van regelmatige beveiligingsaudits. De functionaris voor gegevensbescherming fungeert ook als het contactpunt tussen de organisatie en eventuele Toezichthoudende autoriteiten toezicht houden op gegevensgerelateerde activiteiten.
Europeanen maakten zich zorgen over het misbruik van big data, en hun individuele privacy. Als gevolg hiervan eisten het Europees Parlement, de Europese Raad en de Europese Commissie de verplichte oprichting van een DPO voor alle organisaties die aanzienlijke hoeveelheden persoonlijke gegevens.
Particuliere bedrijven hoeven alleen een functionaris voor gegevensbescherming aan te stellen als ze betrokken zijn bij “kernactiviteiten” die een “grootschalige en systematische” monitoring van gegevens vereisen, of als ze een grote organisatie zijn met honderden of duizenden werknemers. De wet is van toepassing op organisaties die de gegevens van EU-ingezetenen controleren of verwerken, en een groot aantal bedrijven heeft moeite om hieraan te voldoen.
Over het algemeen is de grootte van een organisatie niet zo belangrijk als de hoeveelheid persoonlijke gegevens die het verwerkt. Grote organisaties met meer dan 250 personeelsleden moeten echter doorgaans een functionaris voor gegevensbescherming instellen. Kleinere organisaties hoeven mogelijk geen DPO aan te stellen, afhankelijk van de hoeveelheid persoonsgegevens die wordt verwerkt en het soort bedrijf.
Bij overheidsinstanties moet een DPO worden aangesteld. In wezen moet elke organisatie die regelmatig persoonsgegevens op grote schaal verwerkt, een DPO hebben. Dit omvat organisaties die software-as-a-service (SaaS), sociale mediaplatforms, gezondheidszorgdiensten, onderwijsinstellingen, dataminingplatforms en digitale marketing- en advertentieservices leveren.
Opgemerkt moet worden dat elke organisatie die geen functionaris voor gegevensbescherming aanwijst, moet bewijzen waarom ze geen functionaris voor gegevensbescherming hoeft aan te stellen. Een kleine organisatie moet een interne analyse uitvoeren en het besluit om geen DPO aan te stellen moet worden vastgelegd, samen met de redenen waarom. Het geregistreerde document moet mogelijk worden verstrekt in het geval van een nalevingsaudit.
De AVG werd op 25 mei uitvoerbaarth, 2018. De AVG is noch een richtlijn, noch een suggestie. Het is een groep wetten en is direct bindend en van toepassing, en degenen die zich niet aan de regels houden, kunnen dat wel zijn onderworpen aan boetes.
Belangenconflicten vermijden
De Data Protection Officer rapporteert rechtstreeks aan het hoger management. Het is bedoeld als een professionele functie en de primaire taken van de DPO zijn de communicatie met andere professionals. Bovendien kan er geen belangenconflict zijn met betrekking tot hun verplichtingen tot naleving met de AVG. Om deze reden wordt een onafhankelijke functionaris ten zeerste aanbevolen, in plaats van de verantwoordelijkheden in een bestaande beveiligings- of IT-functie te leggen.
De GDPR stelt de functionaris voor gegevensbescherming moet in staat zijn zijn taken onafhankelijk uit te voeren en mag niet worden “gestraft of ontslagen” voor het uitvoeren van die taken. (De loyaliteit van de DPO is aan het grote publiek, niet aan het bedrijf. Het salaris van de DPO kan worden beschouwd als een belasting voor zakendoen op internet.) Philip Yannella, een advocaat in Philadelphia bij Ballard Spahr, zei:
“Een functionaris voor gegevensbescherming kan niet worden ontslagen vanwege de beslissingen die hij of zij in die rol neemt. Dat beangstigt sommige Amerikaanse bedrijven, die gewend zijn om naar believen te werken. Als een functionaris voor gegevensbescherming iemand binnen een organisatie is, moet hij of zij een expert zijn op het gebied van AVG en gegevensprivacy. “
Het niet hebben van een functionaris voor gegevensbescherming kan behoorlijk duur worden, wat resulteert in hoge boetes voor gegevensverwerkers en controllers voor niet-naleving. Boetes worden beheerd door toezichthoudende autoriteiten van de lidstaten die een klacht hebben ontvangen. Yannella vervolgde: ‘Niemand weet nog wat voor gedrag zou leiden tot een hoge boete. Veel bedrijven wachten om te zien hoe dit allemaal losbarst en staan klaar om te zien op wat voor soort bedrijven en activiteiten de EU-regelgevers zich richten met vroege handhavingsmaatregelen. “
Vereisten van de functionaris voor gegevensbescherming
Hoewel de AVG geen specifieke lijst met referenties bevat voor een functionaris voor gegevensbescherming, vereist deze wel dat een functionaris voor gegevensbescherming “een deskundig begrip heeft van de wetten en praktijken inzake gegevensbescherming”. Dit betekent in feite een grondig begrip van de AVG. De AVG stelt ook dat de expertise van de DPO moet passen bij de gegevensverwerkingsactiviteiten die worden gebruikt en het niveau van beveiliging dat vereist is om de persoonsgegevens te beschermen.
Een van de verantwoordelijkheden is om toezichthoudende autoriteiten op de hoogte te stellen van datalekken, en dit moet binnen 72 uur na het ontdekken van een datalek gebeuren. De DPO is ook verantwoordelijk voor het assisteren bij het opzetten van een “recht om te worden vergeten” -programma, wanneer individuen verzoeken hun gegevens te verwijderen van de computers van een organisatie. De DPO is ook verantwoordelijk voor het trainen en opleiden van personeel over belangrijke nalevingsvereisten.
Een DPO kan een controller of een technicus zijn, als ze aan de vereisten voldoen, en dit kan een waardevolle oplossing zijn voor een klein bedrijf. Gerelateerde organisaties kunnen dezelfde functionaris voor gegevensbescherming delen en gezamenlijk toezicht houden op de gegevensbescherming, maar alle gegevensbeschermingsactiviteiten moeten door dezelfde persoon worden beheerd en de gegevens moeten gemakkelijk toegankelijk zijn voor personeel van de gerelateerde organisaties, aangezien dit nodig is.
De contactgegevens van de DPO moeten openbaar beschikbaar zijn en worden verstrekt aan passende regelgeving toezichthoudende instanties. AVG Artikel 39 geeft een opsomming van de verantwoordelijkheden van de DPO, zoals:
- Houdt gedetailleerde registers bij van alle gegevensverwerking, die op verzoek openbaar moet worden gemaakt
- Voert beveiligingsaudits uit om proactief naleving te garanderen
- Bewaakt de prestaties en geeft advies over inspanningen op het gebied van gegevensbescherming
- Fungeert als contactpersoon tussen de organisatie en de toezichthoudende autoriteiten van de AVG
- Informeert particulieren over hoe hun gegevens worden gebruikt, hun rechten op het wissen van gegevens en de maatregelen die zijn genomen om persoonlijke informatie te beschermen
Gewenste vaardigheden voor functionarissen voor gegevensbescherming
Sommige organisaties zullen proberen deze taken toe te wijzen aan een persoon van de IT-afdeling, en voor een kleine organisatie kan dit werken. De nieuwe functionaris voor gegevensbescherming moet echter een grondige kennis hebben van de AVG en Amerikaanse regelgeving, en het vermogen om naleving ervan te verzekeren. Hoewel dit in eerste instantie lijkt op het volgen van een checklist, is dit geen onzinnige taak. Bekendheid met de wet- en regelgeving met betrekking tot de data-activiteiten van de organisatie is een absolute noodzaak.
Een persoon met een paar jaar ervaring als IT-beveiligingsprofessional en het vermogen om te leren, zou een ideale kandidaat kunnen zijn voor een DPO-functie. Onder de AVG zijn organisaties verantwoordelijk voor veel verschillende soorten inbreuken op de beveiliging, en de functionaris voor gegevensbescherming moet op de hoogte blijven van de beste praktijken en alle passende maatregelen implementeren.
Goede communicatieve vaardigheden zouden ook een belangrijk pluspunt zijn voor deze baan. De mogelijkheid om effectief te communiceren met verschillende afdelingen en individuen binnen een organisatie zou erg nuttig zijn. De functionaris voor gegevensbescherming moet in staat zijn om ingewikkelde regelgevings- en IT-concepten te vereenvoudigen, training te geven en te communiceren met overheidsinstanties. De toezichthoudende autoriteiten van de EU verwachten dat de functionaris voor gegevensbescherming effectief kan communiceren.
Het is uitermate belangrijk dat de DPO een zelfstarter is. Ze moeten het initiatief kunnen nemen en zelfstandig kunnen werken. Hoewel dit voor veel verschillende banen een wenselijke kwaliteit is, is het cruciaal voor deze baan. Er moet ook worden opgemerkt dat de AVG specifiek vereist dat DPO’s “rechtstreeks rapporteren aan het hoogste managementniveau” op grond van artikel 83.3.
Het komt neer op
De DPO beschermt momenteel de persoonsgegevens van mensen die in Europa en Brazilië wonen. In de Verenigde Staten is het redelijk om binnenkort soortgelijke wetten te verwachten. De Richtlijnen voor functionarissen voor gegevensbescherming supplement geeft een aantal hoognodige details over de verantwoordelijkheden van de DPO. De kernactiviteiten zijn activiteiten die niet los kunnen worden gezien van de primaire functies van een organisatie. Hoewel het supplement geen definitie geeft van ‘grootschalig’, bevat het wel criteria die kunnen worden gebruikt om de schaal te bepalen van:
- Het aantal betrokkenen
- Het aantal gegevensitems
- Hoe lang gegevens worden bewaard
- De geografische dekking van verwerking
De functie van DPO gaat verder dan het leren van GDPR-voorschriften en het controleren van het gegevensverwerkingsbeleid hierop; de DPO moet ook ervaring hebben met beide IT- en gegevensbeveiliging. Bovendien zal dit een functie zijn die constant leren en flexibiliteit vereist. De drie kerncompetenties zijn:
- Kennis van GDPR-voorschriften en toepasselijke nationale datawetten
- Ervaring met IT-beveiliging en dreigingsanalyse
- Sterke communicatievaardigheden.
Afbeelding gebruikt onder licentie van Shutterstock.com
