Begin februari vonden twee belangrijke evenementen plaats rond de rol van functionaris voor gegevensbescherming (beter bekend als Data Protection Officer of DPO).
Op 5 februari organiseerde de Gegevensbeschermingsautoriteit (GBA) een conferentie over en voor DPO’s. De conferentie, georganiseerd door Anne-Charlotte Recker, de nieuwe directrice van de Eerstelijnsdienst van de GBA, was vooral bedoeld om het belang van de DPO binnen bedrijven te benadrukken, zowel bij de overheid als in de privésector, zowel in kmo’s als bij grote bedrijven.
Wat is hun rol en missie en hoe kunnen ze samenwerken met de Eerstelijnsdienst, de Inspectiedienst en de Geschillenkamer van de GBA? Welke tools heeft de GBA hen te bieden?
Nu de nieuwe organieke wet van de Gegevensbeschermingsautoriteit in december 2023 eindelijk door het parlement is aangenomen en binnenkort in het Belgisch Staatsblad zal worden gepubliceerd, en vooral nu het Directiecomité van de Gegevensbeschermingsautoriteit sinds de zomer van 2023 weer vijf directeuren in functie heeft, begint de Gegevensbeschermingsautoriteit aan een communicatiebeleid over haar activiteiten, over de compliancetools die ze aanbiedt en over de projecten die ze opzet om beter tegemoet te komen aan de verwachtingen van zowel de bedrijven die verantwoordelijk zijn voor gegevensverwerking als de betrokken burgers.
De DPO is de spilfiguur in de naleving van de GDPR. Hij of zij adviseert, informeert en maakt mensen bewust van gegevensbeschermingskwesties. Daarnaast is de DPO ook de contactpersoon voor de GBA.
De EDPB (European Data Protection Board, die alle Europese toezichthoudende autoriteiten verenigt) voerde in 2023 een breed onderzoek naar de functie van DPO die, vooral in ons land, nog te weinig bekend is en onvoldoende naar waarde wordt geschat. De resultaten werden begin dit jaar gepubliceerd. Er werden bijna 6.200 organisaties en DPO’s bevraagd, en 25 autoriteiten vulden de enquête in. Anu Talus, voorzitster van de EDPB, presenteerde de resultaten van het onderzoek aan meer dan 2.000 DPO’s tijdens een conferentie die op 8 en 9 februari in Parijs werd georganiseerd door de Franse vereniging van DPO’s (AFCDP).
Uit het rapport blijkt dat er in veel bedrijven een tekort is aan DPO’s, zelfs in bedrijven die verplicht zijn er een aan te stellen. Nog al te vaak beschikken DPO’s niet over voldoende middelen om hun taken uit te voeren, of het nu gaat om personeel, tijd of financiële middelen. Een van de redenen daarvoor is dat het management niet genoeg belang hecht aan gegevensbescherming, de rol van DPO en de DPO’s zelf. Dat verklaart waarom DPO’s maar weinig regelmatig en systematisch rapporteren aan het hoogste managementniveau in bedrijven, zoals vereist door de GDPR.
In België is de rol van DPO relatief nieuw in vergelijking met onze buurlanden. De DPO verscheen op het toneel toen de GDPR in 2018 van kracht werd. Dat is misschien waarom het voor ons zo moeilijk is om te eisen dat de functie wordt erkend en naar waarde wordt geschat, ook al is ze voor zowel privé- als overheidsbedrijven cruciaal om GDPR-compliant te zijn. De DPO is een essentiële bondgenoot voor het management die hen helpt de GDPR-bepalingen na te leven. De functie wordt overigens helder gedefinieerd in de GDPR. Het niet naleven van de bepalingen ervan, zoals het niet aanstellen van een DPO wanneer dat verplicht is, of het gebrek aan middelen die aan de DPO worden toegewezen om hem of haar in staat te stellen zijn of haar taken naar behoren uit te voeren, kan leiden tot zware straffen. Een van de grootste ‘straffen’ voor een bedrijf, die de GDPR niet vermeldt, is het reputatierisico dat het loopt wanneer duidelijk wordt dat het niet genoeg belang hecht aan de bescherming van de gegevens van zijn klanten, leveranciers en mensen met wie het zakendoet.
Lees meer artikels over:
