‘Stel een Data Protection Officer aan’

‘Stel een Data Protection Officer aan’
  • 22 augustus 2017
  • Redactie

De Algemene Verordening Gegevensbescherming (AVG) treedt in mei volgend jaar in werking. Deze Europese privacywetgeving, ook wel General Data Protection Regulation (GDPR) genoemd, heeft verstrekkende gevolgen en mogelijke consequenties voor bedrijven die daar niet op anticiperen. Zij lopen risico op een grote achterstand op de concurrentie en hoge boetes.

Uit onderzoek bleek eerder dit jaar al dat bedrijven onvoldoende zijn klaar zijn de komst van GDPR. In navolging van de Autoriteit Persoonsgegevens pleit ook Riens Koopman, director Data & Insights bij Yourzine, voor een betere voorbereiding. Hij benadrukt hoe belangrijk het is een Functionaris Gegevensbescherming, oftewel een Data Protection Officer aan te stellen.

Wat zijn de belangrijkste veranderingen ten opzichte van de huidige regelgeving?
‘De Algemene Verordening Gegevensverwerking vervangt de Wet Bescherming Persoonsgegevens. De huidige wetgeving op het gebied van privacy wordt op tal van punten aangescherpt. Zo moet je jouw klanten en bezoekers van je website op een goede, transparante manier toestemming vragen om hun gegevens te verwerken. Je moet vervolgens helder communiceren over de wijze waarop je hun gegevens gebruikt. En daarmee bedoel ik niet dertig pagina’s met ingewikkelde juridische termen, maar wel een korte, en duidelijke uitleg in begrijpelijke taal. Daarnaast krijgen zij meer rechten, bijvoorbeeld om aan te geven dat zij niet willen dat hun gegevens worden De vrijblijvendheid gaat eraf. Kortom, het wordt strikter en strenger. Als je jezelf niet aan de nieuwe regels houdt dan kunnen de boetes die je krijgt opgelegd oplopen tot miljoenen euro’s. De politiek heeft partijen twee jaar gegeven om aanpassingen door te voeren. Die datum is nu minder dan een jaar vooruit. Als je nog niet bent begonnen dan is het de hoogste tijd om nu meteen in actie te komen.’

Je pleit onder meer voor de aanstelling van een Data Protection Officer (DPO). Waarom is de aanstelling van een DPO noodzakelijk?
‘Ten eerste zijn overheidsinstanties en publieke organisaties altijd verplicht om een DPO aan te stellen, ongeacht het type gegevens dat ze verwerken. Het kan gaan om de rijksoverheid, gemeenten en provincies, maar ook om bijvoorbeeld zorg- en onderwijsinstellingen. Voor rechtbanken geldt de verplichte aanstelling van een DPO niet.
Ten tweede geldt deze verplichting voor organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen. Het kan hierbij gaan om bijvoorbeeld profilering van mensen voor het maken van risico-inschattingen, cameratoezicht en monitoring van iemands gezondheid via wearables. Relevant hierbij zijn onder meer het aantal mensen dat een organisatie volgt, de hoeveelheid gegevens die deze organisatie verwerkt en hoe lang de organisatie mensen volgt.
Ten derde zijn organisaties verplicht om een DPO te benoemen als ze op grote schaal bijzondere persoonsgegevens verwerken en dit een kernactiviteit is. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden.
Daarnaast is het ook voor bedrijven die daar niet wettelijk toe gehouden zijn goed om een specialist in huis te hebben in het domein van privacy. Diegene weet precies van alle regels en dus ook hoe daar op te anticiperen. Het ligt bijvoorbeeld voor de hand om protocollen te ontwikkelen.
Meer in het algemeen stel ik dat bedrijven doordrongen moeten zijn van de privacywetgeving. Dat geldt dus voor alle geledingen van je bedrijf, meer in het bijzonder voor de IT-afdeling, Legal en Business.’

Een DPO kost geld en het is de vraag of het bijvoorbeeld voor een midden- en kleinbedrijf wel rendabel is om zo iemand voltijds aan te nemen?
‘Het hoeft niet per se voltijds, het kan bijvoorbeeld ook voor twee á drie dagen per week zijn. Of op externe basis, en dat kan ook ad hoc zijn. Juist bij het MKB merk ik dat de reikwijdte van de GDPR onvoldoende bekend is. Vermoedelijk door een gebrek aan ervaring en kennis. Daarom is het dus nadrukkelijk ook belangrijk voor het MKB om zich snel in deze materie te verdiepen, en vervolgens te handelen.’

Je spreekt over bedrijven, maar op welke sectoren doel je nou vooral?
‘Het is relevant voor alle bedrijven die persoonsgegevens verwerken, maar ik doel dan meer specifiek op automotive, energie en elektronica. Denk maar aan de IoT-toepassingen die zij gebruiken via bijvoorbeeld slimme meters. Daardoor verkrijgen zij automatisch een schat aan data. Maar het wordt dus wel extra belangrijk om scherper te krijgen hoe je hier mee omgaat.’

comments powered by Disqus