De General Data Protection Regulation (GDPR), ook wel Algemene Verordening Gegevensbescherming (AVG) genoemd, gaat in mei 2018 in en heeft veel gevolgen voor hoe we met databeveiliging en privacy omgaan. Alle organisaties die persoonlijke gegevens van EU-burgers verwerken zullen met de GDPR te maken krijgen. Een van de zaken die veel mensen zich afvragen is ‘wanneer ben ik nu verplicht een Data Protection Officer aan te stellen en wat is zijn rol?’.

Wat is een Data Protection Officer?

In Nederland wordt een DPO ook wel een Functionaris voor de Gegevensbescherming (FG) of privacyfunctionaris genoemd. De DPO ziet toe op naleving van de wet omtrent privacy en data en is hier ook intern en extern het aanspreekpunt voor. Het is van belang dat hij privacy-risico’s herkent en kan voorkomen. Niet alleen op technisch gebied, maar veelal ook door processen correct in te richten en te zorgen dat ze ook goed worden uitgevoerd. De DPO heeft het overzicht op alle activiteiten die met databeveiliging te maken hebben. Daarnaast zorgt hij voor een cultuur waarin er oog is voor security en privacy issues. Ook het creëren van bewustwording speelt dus een rol voor de Data Protection Officer.

Wanneer ben je verplicht een Data Protection Officer aan te stellen?

Er zijn 3 gevallen waarin een organisatie verplicht is een DPO te hebben. In de wet staat het exact beschreven, maar het komt erop neer dat je een DPO nodig hebt als:

1.  Je organisatie een overheidsinstantie of overheidsorgaan is;

2.  Als je organisatie op grote schaal mensen regelmatig of stelselmatig monitort door het verwerken van data. Hoewel er geen definitie in de GDPR staat is monitoring in ieder geval elke vorm van tracking en profilering op internet of offline. Dus ook behavioural advertising, of e-mail retargetting vallen hieronder;

3.  Als je data verwerkt die valt in een van de bijzondere categorieën van persoonlijke gegevens. Dit zijn persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid, of gegevens over strafrechtelijke veroordelingen en strafbare feiten. Voor het mogen verwerken van al deze gegevens gelden overigens sowieso bijzondere aanvullende regels.

Nederland ICT heeft trouwens een handige Quickscan ontwikkelt die je een indruk geeft of het waarschijnlijk is dat jouw organisatie ook een DPO nodig heeft. Uit de eerste resultaten bleek dat ongeveer 40% van de organisaties die de quickscan doen ook daadwerkelijk een data Protection Officer aan zullen moeten stellen.

Waarom een DPO met commercieel hart goud waard is

Het is duidelijk dat de voorbereiding op de GDPR nogal wat voeten in aarde heeft. als je nu je commerciële processen niet op een pragmatische manier afstemt op de GDPR, kunnen marketing, sales, finance, HR en customer support straks niets meer met alle data die in de loop der jaren verzameld is. Een DPO die mee kan denken over de optimale inrichting van de commerciële processen terwijl ze voldoen aan de GDPR is daardoor bijzonder waardevol. Dit geeft na mei 2018 namelijk een enorm concurrentievoordeel. Je databases staan sterk, iedereen weet wat er verwacht wordt en je hoeft je organisatie op geen enkel vlak tijdelijk stil te leggen omdat je simpelweg niet aan de regelgeving voldoet.

Ben jij in 2018 de Data Protection Officer?

Ben jij straks DPO?

Social Engineering: Human Failure

Social Engineering: Human Failure

Social engineering is een techniek waarbij hackers IT-systemen proberen binnen te dringen door gebruik te maken van onwetendheid en onoplettendheid van de eindgebruiker. In plaats van een technische aanval op een IT-systeem voor te bereiden, worden alle pijlen op een...

Lees meer