De Data Protection Officer (DPO) van itslearning zal de komende weken een aantal blogposts schrijven aangaande de nieuwe AVG richtlijnen, in het Engels beter bekend als GDPR. Dit is de eerste blogpost uit deze serie. Om te beginnen beantwoorden we graag de meest voor de hand liggende vraag; Wat is een DPO?
Een simpele vraag, maar om u het antwoord te kunnen geven dienen we inhoudelijk in te gaan op de AVG (Algemene Verordening Gegevensbescherming), en EU data privacy wetgeving.
Voor elke EU-burger is het recht op privacy en beveiliging van persoonsgegevens vastgelegd in het ‘Handvest van de grondrechten’ (artikel 7 en 8). Persoonsgegevens dienen beschermd te worden en verwerking dient alleen met een rechtmatig doel en transparant te geschieden. Tot op heden is deze bescherming vastgelegd in EU richtlijnen in combinatie met wetgeving uit de individuele lidstaten. Vanaf 25 mei 2018 gelden echter de nieuwe AVG richtlijnen. Alle EU lidstaten (en EEA) zijn vanaf die datum automatisch verplicht om zich aan deze nieuwe wetgeving te conformeren.
In veel lidstaten zijn er reeds bepalingen van kracht waarin instellingen gewezen worden op het, al dan niet vrijwillig, aanstellen van een Data Protection Officer (DPO). Binnen de nieuwe AVG richtlijnen is de rol van DPO echter wettelijk vastgelegd. Voor een aantal instellingen zal het aanstellen van een DPO verplicht zijn, terwijl anderen dat ook in de toekomst zelf kunnen beslissen. De volgende instellingen zijn verplicht er één aan te stellen:
- Publieke- en overheidsinstellingen
- Instellingen die bepaalde gevoelige gegevens op grote schaal verwerken
- Instellingen die persoonsgegevens verwerken waarbij toezicht op grote schaal vereist is
Aangezien een groot deel van onze klanten op basis hiervan een DPO dient aan te stellen, heeft itslearning dit ook gedaan.
Terug naar de oorspronkelijke vraag: Wat is een DPO? Kort samengevat is het de taak van de DPO om de fundamentele vrijheden en rechten van betrokkenen met betrekking tot privacy en beveiliging te bewaken. Om er zeker van te zijn dat de DPO de belangen van de betrokkenen als eerste behartigt, boven bijvoorbeeld die van het collega’s of de organisatie, zijn er specifieke bepalingen in de AVG opgenomen. De DPO kan door de organisatie niet aansprakelijk gesteld worden voor de nadelige effecten die het correct uitvoeren van deze functie op de organisatie kan hebben. Hierdoor kan hij/zij onafhankelijk blijven. Hij/zij kan ook geen conflicterende tweede functie binnen de organisatie vervullen.
Een veelvoorkomend misverstand omtrent de rol van de DPO is dat deze persoon verantwoordelijk is voor het al dan niet voldoen aan de AVG. Het betreft eigenlijk het tegenovergestelde; de DPO kan geen functie bekleden waarin beslissingen gemaakt worden die effect kunnen hebben op het al dan niet voldoen aan de AVG. Dit verschil laat zich het best illustreren door de vergelijking tussen een boekhouder en een controleur; De controleur kan advies uitbrengen, maar blijft ondertussen wel onafhankelijk. De boekhouder is en blijft zelf verantwoordelijk wat met dit advies gedaan wordt.
De DPO dient, net als in bovenstaand voorbeeld, altijd geconsulteerd te worden in belangrijke vraagstukken met betrekking tot gegevensbeveiliging in de organisatie. Hij/zij kan de verantwoordelijkheid op zich nemen om de organisatie te trainen met betrekking tot Europese privacy wetgeving. De DPO dient tevens in staat te zijn proactief de naleving van de wetgeving te beoordelen en te controleren en hierover te rapporteren naar het hoogste management niveau in de organisatie. DE DPO is ook contactpersoon voor de externe toezichthoudende autoriteiten.
Daarnaast is de DPO verantwoordelijk voor het afhandelen van verzoeken van betrokkenen wanneer dit valt binnen het vastgestelde rechtmatige doel van gegevensverwerking. Itslearning verwerkt alleen namens onze klanten persoonsgegevens. Leerlingen, docenten en ouders gelieerd aan onze klanten (de scholen) moeten hun verzoeken richten aan de onderwijsinstelling waar zij de gegevens aan verstrekt hebben. Onze DPO zal de onderwijsinstelling echter daar waar mogelijk ondersteunen in het bewaken van de rechten van de betrokkenen.
Hopelijk hebben we in dit artikel voldoende antwoord gegeven op de vraag: Wat is een DPO. Het volgende artikel in onze serie behandeld de vraag: Waarom een nieuwe AVG?
Bekijk tevens onze AVG checklist. Hierin staat uitgewerkt hoe Nederlandse onderwijsinstellingen zich dienen voor te bereiden op de nieuwe AVG richtlijnen.
