DPO: De belangrijkste zaken op een rijtje - de 5 W’s.

 

Wat?

Vanaf 25 mei 2018 zijn bedrijven in de EU verplicht een Data Protection Officer (DPO) aan te stellen volgens de Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR). Deze verplichting geldt voor bedrijven waar de naleving van de GDPR van uiterst belang is, of overtredingen een grote impact inhouden. Maar welke bedrijven zijn dat net?

De GDPR verplicht een DPO in overheidsinstanties en –organen (behalve gerechten bij de uitoefening van hun rechterlijke taken); bedrijven waar de aard, omvang en/of doeleinden van de verwerking van persoonsgegevens een regelmatige en stelselmatige opvolging vereisen; evenals ogansisaties waar bijzondere categorieën van gegevens worden verwerkt (zoals medische, genetische, etnische, levensbeschouwelijke, politieke en andere info zoals voorzien in art. 9 van de GDPR). De aanstelling van een DPO wordt evenwel ook voor alle andere bedrijven en organisaties waar de verwerking van persoonsgegevens van belang is, aanbevolen. De DPO kan eventueel een persoon buiten het bedrijf zijn, maar moet wel makkelijk beschikbaar zijn en regelmatig van nabij het bedrijf opvolgen.

Wie?

De DPO, functionaris voor gegevensbescherming in het Nederlands, moet erop toekijken dat het bedrijf in kwestie zijn data bewaart en verwerkt volgens de regels van de GDPR. Hij adviseert het bedrijf om, indien nodig, bepaalde dingen aan te passen wat betreft privacymaatregelen, securityvoorzieningen, processen en procedures, evenals contracten met derden.

Zelf draagt hij geen verantwoordelijkheid: indien de GDPR niet wordt nageleefd is niet hij, maar het bedrijf – als verwerkingsverantwoordelijke (‘controller’) - volledig aansprakelijk. De DPO fungeert met andere woorden louter als adviseur en toezichthouder. Hij vormt voor iedereen binnen het bedrijf of organisatie het aanspreekpunt voor wie terzake vragen heeft, evenals voor de ‘toezichthoudende authoriteit’ (‘Data Protection Authority’).

De DPO moet een brede achtergrond hebben, met goede communicatieve vaardigheden. Hij moet immers kunen praten en onderhandelen met personen uit zowel ICT, de verschillende bedrijfsafdelingen, onderstenende diensten (HR, legaal departement) als de bedrijfsleiding (alle niveaus). Hij kan dan ook het best functioneren als een persoon in een team.

Waar?

Deze wetgeving geldt op Europees niveau. Elke onderneming in de EU dient zich te houden aan deze regels. Is een onderneming internationaal actief, dan moet bepaald worden onder welke toezichthoudende autoriteit deze valt. Dit is afhankelijk van de plaats van de hoofdvestiging of de vestiging waar de beslissingen omtrent de gegevensverwerkingen worden genomen. Het volstaat voor een concern om één functionaris te hebben, in het land waar de hoofdverantwoordelijkheid inzake de verwerking van persoonsgevens berust, maar die persoon moet wel makkelijk contacteerbaar zijn vanuit alle andere vestigingen.

Wanneer?

De Europese Privacyverordening (GDPR of AVG) is op 24 mei 2016 in werking getreden. Bedrijven en organisaties hebben twee jaar de tijd gekregen om zich aan deze nieuwe regelgeving aan te passen. Vanaf 25 mei 2018 moeten bedrijven voldoen aan deze wetten.

Waarom?

Een DPO helpt een bedrijf om de GDPR tot een opportuniteit te maken, en geen extra beslommering. Door te adviseren welke data best niet meer worden behouden, of voor bepaalde doelstellingen niet meer worden verwerkt, helpt de DPO niet alleen om problemen inzake de naleving van de GDPR te voorkomen. Problemen die kunnen leiden tot zwaar financieel verlies (boetes, kosten voor het verhelpen van problemen, omzetverlies) en reputatieschade (met schade voor de marktpositie). Hij kan immers helpen bij het verkleinen van securityrisico’s en besparingen inzake ict-infrastructuur (minder dataopslag, een veiliger gebruik van de cloud…). Hij helpt bij bedrijfsprocessen die voorzien in privacyzekerheid in de dagelijkse omgang met persoonsgegevens (onder meer door het personeel bewust te houden). Bovendien kan de DPO voorkomen dat de verantwoordelijke(n) voor privacy binnen bedrijven en organisaties (tot en met personen op de hoogste beleidsniveaus) persoonlijk in de problemen komen.

Concreet helpt de DPO dus zowel bij het voorkomen van problemen, naast een optimalisering van de verwerking van persoonsgegevens – twee voordelen waar bedrijven en organisaties best wel oren zullen naar hebben.

Nog vragen? Krijg antwoord op Infosecurity.be en Data & Cloud Expo

Voor veel bedrijven is de GDPR nog een black box. Zijn ze conform de nieuwe wetgeving, moeten ze een DPO aanstellen, kunnen ze hun databank nog gebruiken,… Veel vragen waar bedrijven niet altijd een antwoord op weten. Om deze bedrijven te helpen geeft het onafhankelijke seminarieprogramma van de beurs Infosecurity.be en Data & Cloud Expo enkele GDPR-experts de tijd om hun kennis met de bezoekers te delen.

Onder deze sprekers:

  • Staatssecretaris Philippe De Backer (woensdag 14 maart om 11u) met een talk over de nakende GDPR-wetgeving en privacy bij bedrijven (en de bewustwording ervan)
  • Dimitri Maesfranckx met antwoorden op vragen over hoe GDPR-compliant te zijn en hoe hier voordeel uit te halen - donderdag 15 maart om 12u
  • Advocaat Peter Craddock die GDPR, Artificiële Intelligentie en hun impact op data belicht vanuit een legal standpunt – donderdag 15 maart om 13u
  • Jan Guldentops die bedrijven helpt GDPR-conform te zijn aan de hand van enkele richtlijnen - woensdag 14 maart om 13u

Registreren voor de beurs en de seminaries kan hier.

 

Voor een persaccreditatie, contacteer Kirsten Van Pee: kvp@twocents.be

 

Over Infosecurity + Data & Cloud Expo Belgium

Het tweedaagse Infosecurity.be, in parallel met Data & Cloud Expo combineert een expo en een seminarieprogramma rond security-oplossingen, cloud, data science en een rist andere onderwerpen, bestemd voor zowel IT-professionals/experten als bedrijfsverantwoordelijken.  

Het centrale thema dit jaar is “Quantified world: intelligente en veilige connecties voor iedere organisatie”. Zowel op de beursvloer als in het seminarieprogramma komen zeven sub-thema’s terug: Cybersecurity; Cloud Computing; Datacenter & Infrastructure Optimisation; Data Science & Management; Digital Transformation; IT Service Management & Control en Privacy, Governance & Risk Management.

Meer informatie over de beurzen:

www.infosecurity.be : haakt in op vraagstukken over IT security

www.dncexpo.be: alles over data management en cloud computing.

Praktisch:
Infosecurity.be en Data & Cloud Expo 2019
Brussels Expo, Paleis 8
Woensdag 20 maart 2019: 09.30 – 17.00 uur
Donderdag 21 maart 2019: 09.30 – 17.00 uur

Infosecurity + Data & Cloud Expo Belgium
Jaarbeursplein
3521 AL Utrecht
Nederland