Is het nog mogelijk een interne DPO aan te stellen?

  • 10 september 2020

Een recente veroordeling door de toezichthoudende autoriteit op vlak van gegevensbescherming werpt een nieuw licht op de procedure om een interne DPO te kunnen aanstellen. De uitspraak maakt het moeilijker voor organisaties om een interne medewerker aan te duiden als DPO.

Even kort herhalen: sinds de invoering van GDPR zijn heel wat organisaties verplicht een Functionaris voor Gegevensbescherming aan te stellen, ook wel DPO of Data Protection Officer genoemd. De DPO ziet toe op de gegevensverwerkingen binnen de organisatie, zorgt voor de naleving van de GDPR en werkt samen met de toezichthoudende autoriteit.

Opletten met mogelijke belangenconflicten

De wetgeving laat toe dat deze DPO een interne of een externe medewerker is. Het aanstellen van een interne DPO mag mits andere taken of plichten van de werknemer niet tot een belangenconflict leiden met de functie van DPO. De DPO moet natuurlijk ook over de nodige deskundigheid beschikken om zijn taak uit te oefenen.

Enkele voorbeelden van functies die volgens de Werkgroep 29 (een onafhankelijk Europees adviesorgaan) kunnen leiden tot een belangenconflict, zijn functies in het hogere management: in het geval van lokale besturen bijvoorbeeld een algemeen directeur.

De recente uitspraak van de Gegevensbeschermingsautoriteit interpreteert het begrip belangenconflict strenger. De GBA veroordeelde een onderneming omdat het hoofd Audit, Risk & Compliance aangesteld was als DPO. De argumentatie van de GBA hield in dat deze persoon als hoofd van drie departementen onvoldoende onafhankelijk toezicht kon bewaren als DPO op diezelfde departementen. De geheimhouding en vertrouwelijkheid naar de personeelsleden toe kan door het cumuleren van deze functies ook in het gedrang komen volgens de GBA.

Interne DPO’s in een lagere functie kunnen ook voor een belangenconflict zorgen. De DPO is dan te nauw operationeel betrokken bij de verwerkingen om een onafhankelijke positie in te nemen. Bovendien is het de vraag of de DPO dan beschikt over voldoende actieve ondersteuning door het hogere management, ook een verplichting die vastgelegd is in de wetgeving.

Kortom: deze uitspraak maakt het proces om een interne DPO aan te stellen minder voor de hand liggend.

Wat zijn de mogelijke oplossingen?

Indien je een interne DPO wil aanstellen hou je, afhankelijk van de grootte en de structuur van de organisatie, best rekening met deze goede praktijken:

  • Functies identificeren die incompatibel zijn met de functie van DPO
  • Interne regels opstellen om belangconflicten te vermijden
  • De vacature voor DPO moet voldoende gedetailleerd en afgelijnd zijn van andere interne posities
  • Verklaren dat de DPO geen belangenconflict heeft als een manier om anderen te sensibiliseren.

Een externe DPO aanstellen lijkt daarom een valabel en aan te raden alternatief. Ook bij Haviland treden we al sinds de invoering van GDPR op als externe DPO bij verschillende lokale besturen. Daarnaast adviseren wij ook op vlak van informatieveiligheid. Dit betekent we niet alleen de juridische aspecten van GDPR behandelen maar deze ook helpen (technisch) te implementeren. Wij bieden dus een volledig pakket aan om alle gegevens in de organisatie te beveiligen en ervoor te zorgen dat alle verwerkingen overeenstemmen met de wetgeving.

Interactieve webinars 

Onze collega's van het DPO-team volgen gepassioneerd de wetgeving en actualiteit over informatieveiligheid. Ze willen deze kennis graag delen met onze vennoten en daarom organiseren ze dit najaar een zestal korte online sessies over actuele thema's, zoals GDPR en de lokale contact tracing. Je kan er eenvoudig de voor jou meest relevante topics uitkiezen. Lees meer

Deze informatie wordt u aangereikt door:

Voor meer info kunt u contact opnemen met ons team informatieveiligheid/GDPR via: informatieveiligheid@haviland.be

Neem gerust ook een kijkje op onze webpagina.