Privacy en gegevensbescherming:
in conflict met de GBA

Webinar on demand

Privacy, gegevensbescherming en arbeidsrecht: de ontwikkelingen van het afgelopen jaar

Webinar on demand

SaaS-contracten: valkuilen en aandachtspunten

Webinar on demand

ICT-contracten en gegevensbescherming

Webinar on demand

Fraudebestrijding binnen de eigen organisatie

Webinar on demand

Privacy, gegevensbescherming en arbeidsrecht

Webinar on demand

Waarom je als ondernemer de taken van een DPO best uitbesteedt (Mr. Franklin)

Auteur: Olivier Sustronck (Mr. Franklin)

Alle voordelen van een externe DPO op een rij

De nieuwe normen opgelegd door de privacywetgeving hebben veel ondernemingen doen zweten. De (in sommige gevallen verplichte) aanstelling van een Data Protection Officer (DPO) is hierop geen uitzondering. De AVG (GDPR) verbindt namelijk redelijk hoge verwachtingen en eisen aan deze functie. Voor de meeste ondernemers blijft het dan ook een lastige zoektocht naar de geschikte kandidaat om deze functie te vervullen.

Hierbij krijgt een onderneming telkens de keuze tussen een interne en een externe Data Protection Officer. Mr. Franklin licht kort toe waarom de laatste optie meer rendabel zal zijn voor jou als ondernemer.

Wat is de taak van een DPO?

Een Data Protection Officer (ook wel functionaris gegevensbescherming genoemd) is een onafhankelijk persoon die toeziet op de naleving van de GDPR-verplichtingen binnen een organisatie. DPO as a service helpt bedrijven bij het implementeren van de AVG-vereisten. Een Data Protection Officer neemt een onafhankelijke positie in en fungeert als het ware als de contactpersoon van de organisatie ten aanzien van de Gegevensbeschermingsautoriteit en de betrokkenen.

Welke bedrijven doen best een beroep op een DPO?

Volgens de GDPR-wetgeving is het aanstellen van een Data Protection Officer in een aantal gevallen verplicht. Deze verplichting geldt in volgende situaties:

  • SaaS-platformen of bedrijven die hosting aanbieden;
  • Overheidsinstanties;
  • Dienstverleners van een overheidsinstantie die persoonsgegevens verwerken voor deze overheid;
  • Bedrijven uit de zorgsector die op grote schaal klantgegevens verwerken (huisartsenpraktijk, apotheek, ziekenhuis…);
  • Notarissen, gerechtsdeurwaarders;
  • Advocatenkantoren die aan grootschalige verwerking van bijzondere persoonsgegevens doen (naar Nederlands recht gebeurt de verwerking van persoonsgegevens op een grote schaal wanneer het om meer dan 10.000 betrokkenen gaat. In België plakt men er geen precies getal op, maar wordt deze hoeveelheid eerder als indicatie gebruikt);
  • Ondernemingen die aan profiling of observatie doen op grote schaal.

Ondernemingen die niet onder bovenstaande verplichtingen vallen maar die veel of gevoelige persoonsgegevens verwerken zouden er goed aan doen om ook een Data Protection Officer aan te stellen. Bovendien heeft het vrijwillig aanstellen van een DPO tal van voordelen. Onder meer wordt hier eventueel rekening mee gehouden indien de toezichthoudende autoriteit persoonsgegevens beslist om al dan niet een geldboete op te leggen. In sommige gevallen wordt de aanwezigheid van een DPO namelijk als een verzachtende factor gezien.

Voordelen van een externe DPO

Als ondernemer heb je de keuze tussen de samenwerking met een externe organisatie die de taken van een DPO voor jouw bedrijf gaat vervullen enerzijds en het aanstellen van één van jouw werknemers als een interne DPO anderzijds. We zetten even alle voordelen van het uitbesteden van DPO-taken aan een externe organisatie op een rijtje:

Meer expertise

Externe DPO’s staan veelal meerdere ondernemingen bij of hebben reeds meerdere ondernemingen bijgestaan. Iedere sector heeft zijn specifieke vraagstukken en een DPO die meedere ondernemingen bijgestaan heeft, zal beter kunnen inspelen op wijzigingen nieuwe vragen die zich stellen op basis van de vooraf verkregen expertise.

Meer thuis in incidenten, klachten en crisis-situaties

Externe DPO’s hebben doorgaans meer ervaring met incidenten en procedures voor de Gegevensbeschermingsautoriteit. Veel ondernemingen doen pas beroep op een privacy professional wanneer er zich een incident of klacht voordoet en dan komen ze snel terecht bij een externe DPO of privacy professional.

Meer vertrouwen

Het aanstellen van een externe Data Protection Officer heeft als absoluut voordeel dat de personen wiens gegevens door de onderneming verwerkt worden (klanten, leveranciers etc) meer vertrouwen hebben in het toezicht door de onafhankelijke instanties. Een persoon die werkzaam is binnen het bedrijf zelf wordt door buitenstaanders altijd gezien als een onderdeel van de onderneming in kwestie. Men verwacht dan ook sneller van een interne DPO dat deze vooral de belangen van de onderneming en niet die van de betrokkenen zal nastreven.

Met een externe DPO vermijd je dit probleem en zorg je voor meer vertrouwen bij jouw partners.

Opzeggingsmogelijkheden

Iemand uit het bestaand personeel van de organisatie tot de interne DPO benoemen kan nadeliger zijn voor de organisatie in kwestie. Volgens de GDPR mag een interne DPO namelijk niet ontslagen worden omwille van de uitvoering van zijn taken als DPO. Ook het blootstellen van de Data Protection Officer aan disciplinaire sancties vanwege zijn optreden als DPO is verboden.

Het aanstellen van een werknemer als DPO heeft dus tot gevolg dat deze werknemer een zekere ontslagbescherming geniet. Omdat dit voor spanningen binnen de organisatie kan zorgen, kiezen de meeste ondernemers voor een externe DPO waarmee ze eenvoudig de samenwerkingsovereenkomst kunnen opzeggen als dat nodig is.

De nodige onafhankelijkheid

De GDPR vereist dat de DPO geen instructies mag ontvangen van de onderneming in de uitvoering van zijn taken. Een DPO moet dus voldoende onafhankelijk zijn ten opzichte van de betrokken organisatie. Dit wordt lastiger wanneer er sprake is van al bestaande machtsverhouding tussen de werkgever en de als DPO aangestelde werknemer. In sommige gevallen moet een DPO de ‘bad cop’ spelen of bepaalde conformiteit kunnen bekomen. Dit is eenvoudiger als onafhankelijke persoon die niet in een hiërarchische relatie staat of niet in deze situatie heeft gestaan ten opzichte van collega’s.

Daarbij heb je bij een samenwerking met een externe DPO geen risico op het belangenconflict. Dit blijkt een belangrijke vereiste te zijn, daar de GBA een zeer hoge boete kan opleggen aan de bedrijven waar de interne DPO-werknemer een andere functie met tegenstrijdige belangen vervult. Zo heeft de GBA een boete van 50.000 euro opgelegd aan het bedrijf dat haar hoofd van compliance, audit en risico daarnaast ook als DPO had aangesteld. Het valt dan ook niet te verwonderen dat de meeste ondernemers liever op zeker spelen en een externe Data Protection Officer aanstellen om eventuele risico’s op belangenconflict (en daaropvolgende hoge boetes) te vermijden.

Bron: Mr. Franklin