De positie van DPO’s onder de loep: samenvatting EDPB rapport in 9 punten (Sirius Legal)

De DPO in de EU in cijfers

De European Data Protection Board (EDPB) heeft onlangs zijn tweede jaarlijkse gecoördineerde actie gericht op de aanwijzing en positie van functionarissen voor gegevensbescherming (DPO) afgerond. In dit rapport vind je de resultaten van een groots opgezette bevraging bij 25 landen in de EER. Het veldwerk was in 2023, dus de resultaten zijn zeer recent en een goede reflectie van de realiteit. In totaal waren er maar liefst 17.490 respondenten, 15.108 organisaties en 2.382 DPO’s. Let wel, de bevraging verliep niet in elk land op dezelfde manier, waardoor het aangewezen is om vergelijkingen tussen landen met een korrel zout te nemen of er minstens de gedetailleerde methodologie op na te lezen.

Het volledige rapport met de Europese resultaten kan je hier downloaden.

Wij zoomen echter voornamelijk in op de resultaten voor België, waar de GBA sinds april 2023 een enquête hield onder alle DPO’s van wie zij contactgegevens heeft (ja, ook wij deelden onze mening via deze enquête). Het Belgische verslag is gebaseerd op meer dan 400 reacties van DPO’s.

Algemene resultaten en uitdagingen voor DPO’s in België

Het rapport van de EDPB benadrukt dat, ondanks op het eerste zicht bemoedigende resultaten, er wel toch wel enkele belangrijke zorgen en aandachtspunten zijn als het gaat om de positie van de DPO binnen de onderneming. Dat is zo overal in Europa en dat is dus in België niet anders.

We lijsten hier kort even de belangrijkste gevoeligheden op:

1. DPO’s worden niet systematisch betrokken bij vragen en issues rond gegevensbescherming binnen de organisatie.

Op Europees vlak geeft slechts 28% van de bedrijven aan hun DPO systematisch te betrekken bij vragen en issues rond gegevensbescherming. Opvallend is dat de DPO’s zelf dat nóg lager inschatten met slechts 21%. Dat is op zijn minst onrustwekkend te noemen, toch?

2. Bijna de helft van de respondenten geeft aan dat de middelen toegewezen aan DPO’s ontoereikend zijn.

Vooral in de publieke sector is dit percentage hoger.  Dit blijkt overigens ook uit de praktijk. We zijn bij Sirius Legal niet enkel zelf DPO, maar we bieden ook een GDPR Helpdesk aan aan heel wat organisaties die zelf wel een interne DPO hebben, maar nood hebben aan bijkomende juridische ondersteuning.  Vanuit die ervaring zien we dagelijks hoe moeilijk het is voor interne DPO’s om middelen, tijd, personeel en vooral ook aandacht voor gegevensbescherming te krijgen binnen hun organisatie.

3. De DPO duizendpoot

Een opvallende bevinding is dat nog steeds bijna een op vijf (18%) van de ondervraagde DPO’s eigenlijk ook vanuit een andere functie binnen de organisatie deelneemt aan de feitelijke verwerking van of verantwoordelijk is voor de beslissingen rond persoonsgegevens. Het gaat dan bijvoorbeeld om DPO’s die tegelijk ook functies hebben als CIO, IT verantwoordelijke, jurist of als lid van het algemeen management of bestuur van een organisatie. Kijk ook even naar de 18,7% van respondenten die deze vraag niet wenst te beantwoorden, of het niet weten. Men weet dat men fout is, maar aan een autoriteit gaan we dat best niet melden, toch?

De EDPB en de GBA waarschuwen hierbij terecht voor mogelijke “belangenconflicten” omdat de DPO op dat ogenblik de facto zichzelf moet controleren. Als organisatie moet je heel voorzichtig zijn in het combineren van de DPO functie met andere rollen en de GDPR verbiedt dat ook met duidelijke woorden. Het verbaast ons dan ook deze resultaten te zien over de additionele taken/rollen van een DPO binnen een bedrijf.

Uit deze resultaten blijkt dat de onafhankelijkheid van de DPO een moeilijk gegeven blijft binnen organisaties. Vaak is de DPO functie niet fulltime (56% van de respondenten geeft aan niet full time DPO te zijn). Bedrijven hebben geen budget voor een fulltime DPO of hebben eenvoudigweg onvoldoende verwerkingen van persoonsgegevens om een DPO een fulltime opdracht te geven. In die gevallen  is het logisch dat de DPO-taak gepaard gaat met een andere rol binnen de organisatie. Op zich is daar niets mis mee, maar het verbaast ons wel dat ondanks de vele adviezen en veroordelingen in de praktijk toch nog zo vaak conflicterende functies en taken blijken voor te komen.

Onze mening daarover is helder: wie geen fulltime DPO nodig heeft of wie niemand kan vrijmaken die deeltijds de taak kan opnemen zónder risico op belangenconflicten, kiest beter voor een externe DPO. Dat is precies de reden waarom wij al jarenlang onze DPO-as-a-service dienst aanbieden. Kleine side note overigens: ook de externe DPO kan belangenconflicten hebben, en zeker als advocaat moeten wij erover waken dat die belangenconflicten vermeden worden ten aanzien van cliënten waar we DPO zijn. We dragen daar bij Sirius Legal de grootste zorg voor.

4. Een fulltime DPO die slechts beperkt DPO taken uitoefent?

Indrukwekkend en verbazend is in onze ogen toch wel de volgende grafiek uit het Europees verslag van de EDBP over het aantal werkuren dat een fulltime DPO kan wijden aan DPO taken en verplichtingen: Slechts 35,4% van de organisaties geeft aan dit 91 tot 100% is. De fulltime DPO’s geven zelf aan dat dit amper 22,2% is, wat bij ons ganse team de wenkbrauwen de hoogte in liet gaan…  Een fulltime DPO is een fulltime DPO en die besteedt zijn of haar tijd fulltime aan zijn of haar DPO-opdracht, toch… ?
Wellicht begrijpen wij (en de respondenten) de vraag niet goed, want het lijkt ons kras dat fulltime DPO’s maar een vijfde van hun tijd aan hun opdracht kunnen besteden…

5. Wordt de DPO betrokken bij het beleid?

Nauwelijks 57% van de respondenten zegt als DPO tijdig en consequent geraadpleegd te worden. Dat is betreurenswaardig weinig, maar jammer genoeg een realiteit die door de praktijk bevestigd wordt. Heel vaak is er zelfs geen slechte wil mee gemoeid. De werkelijkheid is dat in heel wat bedrijven eenvoudigweg onvoldoende bewustzijn en automatismen bestaan die ervoor zorgen dat bij interne teams tijdig een alarmbel af gaat die ervoor kan zorgen dat het advies van de DPO ingewonnen wordt.

Heel wat organisaties hebben nog een lange weg af te leggen als het gaat om het invoeren van interne processen en procedures rond nieuwe verwerkingen, (pre-)DPIA’s, inzageverzoeken, vendor assessments en DPA’s, incidentbeheer en incidentmelding…
In heel wat gevallen blijkt externe hulp daar zeer welkom voor interne DPO’s. Een externe blik gecombineerd met de autoriteit van een externe consultant of dienstverlener helpt vaak om voldoende gewicht te creëren om interne veranderingen in gang te zetten. GDPR compliance is wat dat betreft vaak niet meer dan de zoveelste oefening in change management… Onze GDPR Helpdesk is wat dat betreft al vaak een nuttige en nodige hulplijn geweest voor interne DPO’s.

De GBA van haar kant benadrukt overigens voor zover nodig nogmaals dat organisaties er inderdaad voor moeten zorgen dat DPO’s systematisch worden geïnformeerd en geraadpleegd voordat een verwerking van persoonsgegevens plaatsvindt.

6. De “groeps-DPO”

Bijna de helft van de respondenten is DPO voor verschillende entiteiten binnen een groep ondernemingen of binnen een koepel van verenigingen. De ervaring leert nochtans dat dit in veel gevallen verre van ideaal is. De DPO-plicht rust immers op elke individuele rechtspersoon en binnen élke entiteit binnen de groep of koepel moet de DPO dus onafhankelijk kunnen werken én de nodige middelen en tijd ter beschikking hebben. Dat blijkt in praktijk bij een groeps-DPO vaak onmogelijk te zijn. Bovendien loeren belangenconflicten om de hoek als bvb één entiteit binnen de groep verwerkingen stelt als verwerker voor een andere entiteit die verantwoordelijke is…

7. De DPO “expert”

Hoe zit het met de expertise van DPO’s? 10% van de respondenten vindt dat de taak van DPO geen specifieke expertise in gegevensbescherming vereist. We pauzeren hier even en geven je de tijd om die verbluffende statistiek te laten inzinken… 73,32% vindt “expertkennis” gelukkig wel degelijk vereist. Hoe de overige 27% van de DPO’s die hun opdracht naar eigen zeggen invullen zonder expertkennis is onze helpdesk misschien toch een goede suggestie …

8. De DPO zonder budget, support, training en tools

Bijna de helft van de DPO’s klaagt over onvoldoende middelen om zijn of haar taak naar behoren uit te oefenen. Het kan dan gaan om de juiste software tools, externe hulplijnen zoals een DPO Helpdesk of de nodige man- of vrouwkracht in administratieve ondersteuning. Meer dan de helft van de respondenten gaf zelfs aan dat er helemaal geen budget is toegewezen aan de DPO. Geen budget betekent ook geen gepaste software tools, geen externe IT partners die bijvoorbeeld intrusietesten kunnen uitvoeren, geen phishing campagnes, geen awarenesstrainingen, geen juridische hulp bij inzageverzoeken, datalekken, DPIA’s, … en met andere woorden de facto geen echt informatieveiligheidsbeleid…

9. Niet altijd rapportage aan het hoogste management

Ongeveer 17,71% van de respondenten meldde dat de DPO niet regelmatig aan het hoogste managementniveau van de organisatie rapporteert, wat in strijd is met artikel 38(3) van de GDPR. Ook dit is in de praktijk een steeds terugkerende vaststelling, zelfs voor ons als externe DPO jammer genoeg. Nog al te vaak wordt de DPO weggezet als een noodzakelijk aanhangsel van de interne legal counsel of van de HR- of IT-manager en, moet hij of zij ook rapporteren aan legal, IT of HR in plaats van rechtstreeks aan het senior management. Eens te meer blijkt hier overigens in onze ervaring dat het voor de externe DPO veel makkelijker is om met de nodige autoriteit en gezag toegang te krijgen (te nemen) tot dat senior management als en wanneer dat nodig is dan voor een interne DPO.

Acties door de GBA

De GBA heeft intussen al vervolgstappen ondernomen, waaronder formele onderzoeken en enkele besluiten waarin schendingen van de GDPR werden vastgesteld. De GBA is van plan om haar themapagina voor DPO’s bij te werken. Ze organiseerde zopas ook een eerder aangekondigd seminarie als onderdeel van haar “inspanningen” om DPO’s beter te informeren.
Jammer genoeg waren er maar 63 plaatsen voor deelnemers en werd het event niet gestreamd. Aangezien er in België ruim meer dan 8.000 aangemelde DPO’s zijn, begrijp je allicht de frustratie bij wie zich niet binnen de eerste vijf minuten na het openen van de inschrijvingen kon registreren.

Een seminarie “voor DPO’s” dat als doel heeft kennis te delen en DPO’s beter te informeren, maar waar minder dan 1% van de DPO’s aan kan deelnemen is een beetje cynisch toch. Over het feit dat het anno 2024 niet mogelijk blijkt om zo’n event gewoon live te streamen voor de meer dan 7.900 DPO’s die géén golden ticket konden bemachtigen, spreken we ons dan nog niet uit…

Wat leert ons dit rapport nu?

Dit rapport toont aan dat, ondanks enige vooruitgang, er nog steeds ruimte is voor verbetering in de aanwijzing en positie van DPO’s. Organisaties moeten zich bewust zijn van het cruciale belang van DPO’s en de benodigde middelen verstrekken om effectieve naleving van de GDPR te waarborgen.

Maar wat leren jij en wij hieruit? Wel, vooral dat er intern nog heel wat werk aan de winkel is om de taak van DPO correct in te vullen. Wil jij geen risico lopen op onnodige boetes en vooral op te vermijden datarisico’s, zorg dan voor het volgende:

1. Onderzoek tijdig of je verplicht een DPO moet aanstellen.
2. Zorg voor de nodige opleiding, vorming, omkadering, financiering en autoriteit voor je interne DPO, of kies voor een externe DPO.
3. Kies je voor een eigen, interne DPO, geef hem of haar dan de nodige juridische ondersteuning en voldoende middelen in de vorm van training, tools en indien nodig, externe expertise.

Bron: Sirius Legal