Even voorstellen: onze Data Protection Officer

Vanaf 1 februari hebben we binnen de AllBidigit Group een Data Protection Officer (DPO), of in het Nederlands Functionaris Gegevensbescherming aangesteld. Hiermee lopen we al vooruit op de wijzigingen in de privacywetgeving per 25 mei 2018.

Voor onze organisatie hebben we onze Product Owner Jeffrey Peerboom bereid gevonden deze taak op zich te nemen. Jeffrey werkt inmiddels ruim 8 jaar bij onze organisatie, en kent de organisatie van haver tot gort. In zijn vorige functie als Informatie Adviseur werd hij regelmatig geconfronteerd met audits door o.a. onze internationale klanten. Data protectie is hierbij een belangrijk onderdeel in de audits.

Jeffrey is tegenwoordig verantwoordelijk voor de product ontwikkeling, automatisering en proces optimalisatie binnen AllBidigit. De taken als DPO sluiten hier goed perfect op aan.

Europese Algemene Verordening Gegevensbescherming

In 2016 is een belangrijke aankondiging gedaan: de Nederlandse privacywet wordt vervangen door de Europese Algemene Verordening Gegevensbescherming. Hoewel er sprake is van een overgangsperiode van twee jaar, moet er nu al heel veel veranderen bij bedrijven die data verwerken of opslaan.

De nieuwe verordening heeft alles te maken met ‘privacy by design’. In de kern komt het erop neer dat ieder bedrijf privacy en een veilige omgang met (klant of gebruikers)data centraal moet stellen in de bedrijfsvoering. Dat was natuurlijk bij velen al een uitgangspunt, maar per 2018 is de plicht tot documentatie veel zwaarder. Ieder bedrijf dat structureel of op grote schaal persoonsgegevens opslaat óf verwerkt zal dan moeten aantonen hoe die gegevensverwerking plaatsvindt en hoe de beveiliging is ingericht.

De DPO en zijn functie

Cruciaal hierin is de aanstelling van een zogenaamde Data Protection Officer. Die persoon moet optreden als interne toezichthouder. Dat er dit jaar nog een hoop DPO’s aan worden gesteld, staat wel vast. In een onderzoek doet de International Association of Privacy Professionals de schatting dat er ten minste 28 duizend nodig zijn. Deze persoon zal de brug zijn tussen IT, ‘legal’ en PR/communicatie, ziet erop toe dat regels worden nageleefd en meldt zich bij de autoriteiten als er onverhoopt iets is misgegaan.

De DPO binnen uw organisatie moet dus alles weten over de data die in huis zijn of hoe die worden verwerkt. Waar worden gegevens opgeslagen, waarvoor worden de data gebruikt, wie is er eindverantwoordelijk voor de verwerking en wie bewaakt nu alle processen? De DPO voegt kennis toe over privacy, het recht, beveiliging, dataretentie, data-optimalisatie en cyberaanvallen.

Zeker wat betreft dit laatste moet vermeld worden dat de DPO niet verantwoordelijk is voor het afweren van een aanval. De DPO schakelt met de autoriteiten, laat met documentatie zien welke maatregelen zijn getroffen en wat de eventuele impact van een aanval of hack is. Vervolgens wordt in samenspraak met Directie/PR/communicatie gecommuniceerd met de buitenwereld.