DPO

Een Functionaris voor de Gegevensbescherming, vooral bekend onder de Engelse benaming Data Protecion Officer (DPO), houdt toezicht op de naleving van de Wet Bescherming Persoonsgegevens (Wbp).

Functionaris voor de Gegevensbescherming in veel gevallen verplicht

Op dit moment mogen bedrijven en organisaties zelf bepalen of ze een Functionaris voor de Gegevensbescherming (FG) benoemen, maar dat duurt niet lang meer. Uiterlijk op 25 mei 2018, als de Europese Privacyverordening van kracht is, MOETEN bedrijven en organisaties in een aantal situaties een FG benoemen.

Een Functionaris voor de Gegevensbescherming, vooral bekend onder de Engelse benaming Data Protecion Officer (DPO), houdt toezicht op de naleving van de Wet Bescherming Persoonsgegevens (Wbp).

De wettelijke taken en bevoegdheden van de FG geven hem of haar een onafhankelijke positie in de organisatie. Het is mogelijk een externe medewerker als FG aan te stellen. Sterker nog, het biedt voordelen om een externe FG in te huren, maar daar komen we later op terug.

De nieuwe Europese Privacyverordening (de Algemene Verordening Gegevensbescherming) stelt een FG verplicht bij:

  • Organisaties die vanwege aard of omvang op grote schaal persoonsgegevens verwerken
  • Overheidsdiensten, uitgezonderd gerechten
Per land kunnen andere verplichte situaties worden toegevoegd. De aanvankelijke eis dat een FG verplicht is bij bedrijven met meer dan 250 werknemers, is vervallen.

ICT2MKB heeft de beste (en gecertificeerde) Privacy Experts voor u

ICT2MKB is expert op het gebied van de huidige en toekomstige privacywetgeving. Wij zijn op de hoogte van de laatste ontwikkelingen en hebben jarenlange ervaring met het opstellen en uitvoeren van privacybeleid, beveiligingsrichtlijnen, bewerkersovereenkomsten, Privacy Impact Assessments (PIA’s), Privacy Enhanced Technologies (PET), privacy by design en privacy bij default.

De FG’s van ICT2MKB zijn hooggekwalificeerde consultants met ruime ervaring in het (EU-)Privacy en IT-Security domein en expertise op het gebied van gegevensbescherming. De FG’s kunnen in-house of extern voor u werken, in deeltijd of voltijd. Als u zelf een FG heeft, kan ICT2MKB deze ondersteunen en voorzien van specialistisch en hoogwaardig privacy advies. Ten slotte levert ICT2MKB kant en klare oplossingen voor Privacy Compliance.

Bent u op zoek naar een Privacy Expert, een FG of een IT- Security consultant met kennis op het gebied van de Wet bescherming persoonsgegevens? ICT2MKB heeft die mensen voor u en kan u daarmee heel wat werk en zorgen uit handen nemen.

Art. 39 van de privacy wetgeving vermeldt wat van een FG wordt verwacht en over welke kennis hij/zij moet beschikken. Op termijn zal er in een officiële certificering worden voorzien. ICT2MKB voldoet aan alle criteria.

Een certificering is belangrijk bij het opleiden van een medewerker tot FG of bij het inhuren van een externe FG. Er is één instituut voor certificering op privacygebied dat wereldwijd bekend is: de IAPP. De IAPP kent verschillende certificaten, voor een FG zijn de CIPP/E en CIPM het meest relevant. Wie in het bezit is van deze certificaten, moet jaarlijks een aantal punten halen om het certificaat te mogen behouden. Daarmee is hun kennis altijd actueel.

Wat doet een FG?

De activiteiten van deFG omvatten onder meer:

  • toezicht houden op naleving van privacy wetten en regels
  • verzamelen van inventarisaties van gegevensverwerkingen
  • ontwikkelen van interne regelingen
  • bijhouden van meldingen van gegevensverwerkingen
  • behandelen van vragen en klachten van personeelsleden, klanten, patiënten
  • voorlichten over privacy (o.a. privacy by design and privacy by default)
  • adviseren over technologie en beveiliging

Een externe FG biedt voordelen

De FG kan een externe medewerker zijn. Dit heeft zelfs voordelen ten opzichte van een interne FG:

  • Het biedt een betere waarborg voor de onafhankelijkheid van de FG. Hij/zij wordt immers niet gehinderd door ‘bedrijscultuur’, 'politiek' of 'lange tenen' binnen de organisatie.
  • Een externe FG heeft meestal ervaring met meerdere bedrijven en toegang tot een netwerk van andere functionarissen. Dit kan zijn werk aanzienlijk vergemakkelijken.

Een FG moet onafhankelijk kunnen werken. Hij of zij rapporteert aan de Raad van Bestuur. Hij/zij kan overleggen met het College Bescherming Persoonsgegevens (Cbp). Er is geen meldingsplicht bij het Cbp voor onregelmatigheden.

De Autoriteit Persoonsgegevens (AP) krijgt steeds meer bevoegdheden en kan steeds hogere boetes uitdelen. Laat het zo ver niet komen! Word ‘privacycompliant’ en stel een FG aan.

ICT2MKB zorgt dat u privacyrisico’s vermijdt

Wat kan ICT2MKB voor u doen om privacyrisico’s te vermijden? We kunnen:

  • Uw bedrijf ondersteunen bij het uitvoeren van een PIA of deze voor u uitvoeren. Hiermee biedt u uw organisatie een instrument om privacy risico’s in een vroeg stadium op een gestructureerde en heldere manier in beeld te kunnen brengen.
  • Uw organisatie ondersteunen bij het onderzoeken van de privacy benodigdheden voor uw organisatie.
  • Maatregelen opstellen zodat u voldoet aan de nieuwe EU privacy verordening door het implementeren van de juiste vorm van Privacy Enhanced Technologies (PET) en het doorlopen van de stappen die benodigd zijn om ook in de toekomst op de juiste manier om te gaan met persoonsgegevens.

Werk aan uw databeveiligingsbeleid

Ook als u als nog geen FG heeft aangesteld, kunt u al aan de slag om persoonsgegevens beter te beveiligen. En dat gaat verder dan alleen het versleutelen van data. Want voor u het weet, verplaatsen medewerkers gevoelige gegevens naar de cloud omdat ze thuis willen werken.

Gebruik altijd encryptie, ook als de wet dat niet voorschrijft. Bedrijven zien dat nog veel te vaak als ingewikkeld. En dat terwijl je bij slim gebruik van encryptie een extra beschermingslaag hebt tegen allerlei vormen van cybercriminaliteit. ICT2MKB helpt u hier graag bij.

Het is ook een goede stap om logs slimmer te gebruiken; niet alleen als naslagwerk na een datalek, maar ook om meer te leren over het gedrag van de gebruikers. Heeft u bijvoorbeeld medewerkers die steevast hun software-updates negeren? Zij maken het wel erg gemakkelijk voor cybercriminelen om bij uw data te komen

De grootste misvattingen over de Europese privacyverordening

Niet iedereen lijkt door te hebben dat de nieuwe Europese regels voor het verwerken van persoonsgegevens ook op zijn/haar bedrijf van toepassing zijn. Daarom is het de hoogste tijd om de belangrijkste misvattingen over de privacy wetgeving uit de weg te helpen en uit te leggen hoe het zit. Voor u het weet is het 25 mei 2018.

1. NIET WAAR: De Europese privacyverordening en het aanstellen van een FG is alleen van belang voor grote bedrijven
Iedere organisatie moet voldoen aan de privacy wetgeving. De regels zijn namelijk net zoals onze huidige privacywet – van toepassing op iedere vorm van verwerking van persoonsgegevens, ongeacht de omvang van de organisatie. Als data één van de kernactiviteiten is van uw bedrijf, is het aanstellen van een FG verplicht, ongeacht het aantal medewerkers.
2. NIET WAAR: De Europese privacyverordening is alleen van toepassing op bedrijven in Europa
Bedrijven die gevestigd zijn buiten de EU, maar zaken of diensten aanbieden aan Europese burgers en daarbij hun gegevens verwerken, moeten zich aan de privacy wetgeving houden. Datzelfde geldt voor organisaties die via cookies surfgedrag van Europeanen monitoren.
3. NIET WAAR: De Europese privacyverordening geldt alleen voor online data
De privacy wetgeving reguleert de on- en offline wereld. De nieuwe regels gelden net zo goed voor een papieren archief, direct mail en display advertising.
4. NIET WAAR: De Europese privacyverordening is alleen van belang in de B2C sfeer
De privacy wetgeving geldt voor zowel B2B als B2C. Een B2B-gegeven is namelijk al heel snel een persoonsgegeven, denk bijvoorbeeld aan een zakelijk e-mailadres, directe telefoonnummers, functietitels of zakelijke postadressen. In dat geval gelden de nieuwe regels.
5. NIET WAAR: De Europese privacyverordening geldt niet voor ons, want wij verwerken data niet geautomatiseerd
De privacy wetgeving is van toepassing op geautomatiseerde verwerkingen (profilering), maar ook op deels geautomatiseerde verwerkingen of andere gestructureerde verzamelingen van persoonsgegevens.
6. NIET WAAR: Als ons privacy statement in orde is, voldoen we aan de Europese privacverordening
De privacy wetgeving scherpt bestaande standaarden aan, maar introduceert ook nieuwe verplichtingen. Organisaties moeten een protocol datalekken opstellen een Privacy Impact Assesment (PIA) doen voor bepaalde processen. Ook moeten zij documentatie bijhouden van welke gegevens zij verwerken, welke bewerkers zij daarbij inschalen en hoe data beveiligd is. Ook de consument heeft nieuwe rechten, waaronder het recht om zijn informatie te verhuizen (dataportabilliteit).
7. NIET WAAR: Als we toestemming hebben voor de verwerking, voldoen we aan de Europese privacyverordening
Toestemming voor het gebruik van data moet het resultaat zijn van een actieve handeling en u moet voldoende informatie geven op basis waarvan iemand betekenisvolle toestemming kan geven. U zult de wijze waarop toestemming wordt verkregen opnieuw tegen het licht moeten houden. Belangrijke informatie over waarvoor iemand toestemming geeft, mag niet worden weggestopt in de algemene voorwaarden.
8. NIET WAAR: We hebben een cookiebanner op onze website, dus we zijn klaar voor de Europese privacverordening
Het is belangrijk om te realiseren dat de privacy wetgeving het verwerken van persoonsgegevens ‘techniek neutraal’ reguleert. Dat wil zeggen dat specifieke regels voor het gebruik van cookies of het versturen van e-mails niet in deze privacy wetgeving worden geregeld. De cookiebanner is het gevolg van een Europese Richtlijn (de E-Privacy Directive) die in nationale wetgeving (onze Cookieprivacy wetgeving) is geïmplementeerd. De Europese Commissie is nu gestart met een consultatie over de herziening van deze Richtlijn.

Interesse?

Neem gerust contact met ons op via het contactformulier of bel: +31(0)88 - 428 26 00 voor een vrijblijvende kennismakingsafspraak.