Overzicht Actueel

De DPO in de praktijk

DPO

Een van de grootste veranderingen onder de AVG is de verplichting voor bepaalde organisaties om een Data Protection Officer aan te stellen. Wij krijgen hierover veel vragen. Maar er zijn natuurlijk ook organisaties die al een DPO hebben. Bijvoorbeeld één van onze leden; Green Orange Digital Marketing. Wij stelden hun DPO, Lifan Shiu een paar vragen.

Wil jij weten of jouw organisatie een DPO nodig heeft? Deel 3 van onze AVG voorlichting bestaat o.a. uit een checklist om daar achter te komen. Vraag ‘m hier aan!

Waarom hebben jullie ervoor gekozen een DPO aan te stellen?

We hebben de AVG aangegrepen als kans om onze privacy- en gegevensbescherming volledig door te lichten. We wilden met een schone lei starten en ons richten op 2018.
Als dienstverlener werken wij altijd op opdrachtbasis. Onze klanten verwachten van ons dat wij producten en diensten leveren die compliant zijn. Ze willen zo veel mogelijk zekerheid. We wisten dat de verplichte DPO er aan zat te komen en wilden ervoor zorgen dat we hier aan voldoen voordat onze opdrachtgevers er zelf om vragen.

Hoe is dit traject jullie tot nu toe bevallen?

We zijn begonnen met het vergroten van bewustwording in het hele bedrijf. Hiervoor was het belangrijk dat alle collega’s tot op zekere hoogte weten dat er een nieuwe privacywet aankomt, en wat dit betekent voor hun werkzaamheden.

Dit was nodig om ervoor te zorgen dat men op tijd signaleert dat iets invloed heeft op gegevensbescherming of privacy. Ik kan niet overal bij zijn, daarom is het belangrijk dat men dit oppakt en op het juiste moment naar mij toe komt. Dit signaleren is een gedeelde verantwoordelijkheid. We zijn als organisatie niet groot genoeg (30-40 medewerkers) om op elke afdeling iemand hiervoor aan te wijzen.

Deze manier van werken wordt door collega’s als positief ervaren. Ik hou niet alleen toezicht maar kan anderen op deze manier ook helpen.
Ook bij opdrachtgevers wordt het positief ontvangen. We merken dat we regelmatig beter op de hoogte zijn van veranderingen door de AVG dan onze opdrachtgevers. Doordat we op tijd met de AVG bezig zijn kunnen we eerder inspelen op veranderingen. We helpen onze opdrachtgevers ook bij deze bewustwording. Wij attenderen opdrachtgevers er bijvoorbeeld op dat een applicatie een update nodig heeft voordat het ‘AVG-proof’ is.

Heb je nog tips voor organisaties die nu op zoek gaan naar een FG?

De DPO hoeft volgens de AVG geen jurist te zijn, maar het is een stuk makkelijker als je wel wat achtergrondkennis hebt van privacywetgeving. Wijs niet zomaar iemand aan, maar kies iemand die thuis is in relevante wetgeving. Zonder scholing mis je bepaalde kennis, dan kost het meer tijd om de taken goed uit te voeren.

Zou je een organisatie die niet verplicht is een DPO aan te stellen aanraden het toch te doen?

Als je veel met data werkt maar niet zeker weet of een DPO verplicht is raad ik je aan het toch te doen, hoe klein je ook bent. Het kost geld om een DPO aan te stellen, maar een boete is altijd duurder.

Je hebt zelf een dubbelfunctie als marketeer en DPO, hoe kijk je aan tegen het risico op belangenconflicten?
Ik bevind me in mijn functie vooral aan het einde van de keten. Daarbij ben ik niet betrokken bij het bedenken van campagnes, het maken van de applicaties of websites. Daardoor heb ik in mijn functie nog geen situaties meegemaakt waarbij mijn functie als toezichthouder een conflict opleveren met mijn taken als marketeer. Het is belangrijk om in de gaten te houden welke elementen van je functie een conflict kunnen opleveren.

De Algemene Verordening Gegevensbescherming komt er aan! Vanaf mei 2018 gelden nieuwe regels. Voorkom hoge boetes en zorg dat jouw organisatie AVG proof is. Wij helpen onze leden in 10 stappen bij de voorbereiding. Deel 3: de DPO & Privacy by Design kun je nu aanvragen. Natuurlijk zijn ook deel 1 (Meldplicht Datalekken) en 2 (Persoonsgegevens, de basics) nog beschikbaar.