De EU-verordening voor data- en privacybescherming (AVG) houdt de gemoederen in ict-land bezig. Een van de vereisten die regelmatig over het hoofd wordt gezien is de aanstelling van een DPO.
De Algemene Verordening Gegevensbescherming (AVG) legt organisaties in alle EU-landen vanaf mei komend jaar direct een reeks verplichtingen op. De AVG verzwaart en vervangt de Meldplicht Datalekken die in Nederland sinds 1 januari 2016 geldt. De verzwaring zit onder meer in de hogere boetes die toezichthouders kunnen opleggen: tot wel 20 miljoen euro, of 4 procent van de internationale bedrijfsomzet.
Méér dan een jurist
Een andere verzwaring van de AVG/GDPR is de aanstelling van een data protection officer (DPO), of functionaris voor gegevensbescherming (FG). In Duitsland is deze functie al verplicht. De functionaris is méér dan een privacy officer, die veel volwassen organisaties al wel hebben. Inhoudelijk moet een DPO zowel privacy-expert en jurist zijn, als ook kundige op gebieden als IT, databeveiliging en change management. Veel, maar niet alle, organisaties moeten een DPO aanstellen.
Duizenden nodig
De International Association of Privacy Professionals (IAPP) schat dat er EU-breed ongeveer 70.000 DPO’s nodig zullen zijn. Dat is een royale inschatting, waar deze belangenorganisatie ook een ondergrens van 28.000 tegenover zet. IAPP-CEO Trevor Hughes verwijst naar een onderzoek van begin vorig jaar, waarin de associatie al een inschatting maakte van het aantal vereiste DPO’s. Het grote verschil tussen de aantallen schuilt enerzijds in conservatieve aannames voor het onderzoek dat het minimum van 28.000 DPO’s aanduidt. Anderzijds kunnen DPO’s dienst doen voor meerdere organisaties tegelijk, geeft de IAPP aan. De Nederlandse privacytoezichthouder AP (Autoriteit Persoonsgegevens) bevestigt deze praktijkmogelijkheid. De AP laat weten dat het het aantal DPO’s in de EU-landen heel verschillend is.
Wel/geen DPO nodig?
Het is voor veel organisaties nog niet duidelijk of zij nu wel of niet een DPO hoeven aan te stellen. De DPO-verplichting is van toepassing voor de meeste overheidsorganisaties en ook voor bedrijven die gebruik of verwerking van persoonsgegevens als kernactiviteit hebben. Schaalgrootte speelt hierbij een rol, maar organisatiegrootte weer niet. Een vroege conceptversie van de AVG beperkte de DPO-eis tot bedrijven met meer dan 250 werknemers. De in mei van kracht wordende versie hanteert die scheidslijn echter niet. Branchevereniging Nederland ICT biedt een quickscan waarmee organisaties kunnen bepalen of zij een DPO nodig hebben. Uit een eerste inventaris begin dit jaar bleek al dat een DPO nodig is voor 40 procent van de organisaties die de quickscan deden.
Los van of een organisatie nu wel of niet verplicht een DPO moet aanstellen, is het sowieso zinvol. Lees het interview met Aleid Wolfsen, voorzitter van de AP, in deze editie (p.3): “Zij zijn eigenlijk een interne toezichthouder, een mini-AP’tje binnen een bedrijf zo je wilt. Zij weten precies wat wel en wat niet gemeld moet worden.”
