Ieder bedrijf een data protection officer: de praktische impact en tips

Geen reacties
Tags: , ,
Posted 03 Okt 2016 in nieuws

Begin dit jaar is een belangrijke aankondiging gedaan: de Nederlandse privacywet wordt vervangen door de Europese Algemene Verordening Gegevensbescherming. Hoewel er sprake is van een overgangsperiode van twee jaar, moet er nu al heel veel veranderen bij bedrijven die data verwerken of opslaan. Over de praktische impact en de nodige tips.

De nieuwe verordening heeft alles te maken met ‘privacy by design’. In de kern komt het erop neer dat ieder bedrijf privacy en een veilige omgang met (klant of gebruikers)data centraal moet stellen in de bedrijfsvoering. Dat was natuurlijk bij velen al een uitgangspunt, maar per 2018 is de plicht tot documentatie veel zwaarder. Ieder bedrijf dat structureel of op grote schaal persoonsgegevens opslaat óf verwerkt zal dan moeten aantonen hoe die gegevensverwerking plaatsvindt en hoe de beveiliging is ingericht.

De DPO en zijn functie

Cruciaal hierin is de verplichte aanstelling van een zogenaamde Data Protection Officer (DPO). Die persoon moet optreden als interne toezichthouder. Dat er binnen nu en twee jaar een hoop DPO’s aan worden gesteld, staat wel vast. In een onderzoek doet de International Association of Privacy Professionals de schatting dat er ten minste 28 duizend nodig zijn. Deze persoon zal de brug zijn tussen IT, ‘legal’ en PR/communicatie, ziet erop toe dat regels worden nageleefd en meldt zich bij de autoriteiten als er onverhoopt iets is misgegaan.

De DPO binnen uw organisatie moet dus alles weten over de data die in huis zijn of hoe die worden verwerkt. Waar worden gegevens opgeslagen, waarvoor worden de data gebruikt, wie is er eindverantwoordelijk voor de verwerking en wie bewaakt nu alle processen? De DPO voegt kennis toe over privacy, het recht, beveiliging, dataretentie, data-optimalisatie en cyberaanvallen.

Zeker wat betreft dit laatste moet vermeld worden dat de DPO niet verantwoordelijk is voor het afweren van een aanval – hiervoor is immers een ‘security officer’ of externe organisatie ingehuurd. De DPO schakelt met de autoriteiten, laat met documentatie zien welke maatregelen zijn getroffen en wat de eventuele impact van een aanval of hack is. Vervolgens wordt in samenspraak met PR/communicatie gecommuniceerd met de buitenwereld.

Enkele tips:
  1. Een DPO mag in principe meerdere bedrijven vertegenwoordigen. Of die persoon nu fulltime is verbonden aan uw organisatie of niet, diegene moet wel beschikken over voldoende autoriteit. Het zal namelijk voorkomen dat de DPO bedrijfsprocessen moet veranderen. Zonder autoriteit  stapt een senior manager al snel over nieuw beleid of een interne audit heen. Worden de verantwoordelijkheden ondergebracht bij een al bestaande functie dan ligt het voor de hand de functie van CTO, CISO (Chief Information Security Officer) of CFO uit te breiden. Wie er ook DPO wordt, diegene moet in staat zijn autoriteiten, publiek en pers te woord te staan.
  2. De desbetreffende persoon moet de Europese Algemene Verordening Gegevensbescherming van binnen en buiten kennen en beschikken over kennis van genoemde onderwerpen. Hoewel mensen in veel zijn te trainen, is ervaring met databeveiliging, IT en bedrijfsprocessen wel een harde eis.
  3. Tot slot moet de DPO die bedrijfsprocessen ook in een breder perspectief kunnen plaatsen. Denk aan deze vier vragen: hoe komen data binnen, waar verlaten ze het bedrijf, wie hebben er toegang en hoe worden de gegevens gebruikt? Dat zijn vragen die door zowel autoriteiten als journalisten worden gesteld.
Eerste stappen

Nog geen DPO, maar wel de nodige eerste stappen zetten?

Voer een Data Protection Impact Assessment uit. Ga in een audit na welke persoonlijke data nu en in de toekomst (waarschijnlijk) verwerkt worden. De verwerker moet kunnen aantonen toestemming te hebben voor de verwerking van persoonlijke gegevens als financiële data. Er moet onder meer zijn vastgesteld hoe lang de gegevens bewaard blijven en met welke doeleinden. Ga bijvoorbeeld (nog eens) actief na bij klanten waarvoor zij toestemming geven, en toon daarmee aan dat je de beveiliging en communicatie serieus neemt.

Ga ook na welke afspraken er zijn gemaakt met bedrijven die de data beheren. Zijn die in lijn met de nieuwe Europese regels? Welke maatregelen worden getroffen ter voorkoming van een datalek, bijvoorbeeld? En wordt het databeleid al in begrijpelijke taal gecommuniceerd richting klanten? Ook dat is een met de inwerkingtreding van de verordening een harde eis.

Dat er nu nog sprake is van een overgangsperiode wil niet zeggen dat alles pas in 2018 op orde hoeft te zijn. Deze stap richting privacy by design kan namelijk heel goed zijn voor het onderscheidend vermogen van de organisatie. Nu er meer en meer apparaten met het internet verbonden zijn en bedrijven daarmee steeds grotere hoeveelheden gegevens verzamelen, zullen toezichthouders en publiek strenger worden. Met een DPO en goed databeleid toont een organisatie in ieder geval aan privacy zeer serieus te nemen.



Lees het volledige bericht op Emerce »


Add Your Comment