Waarom hebben jullie ervoor gekozen een DPO aan te stellen?
We hebben de AVG (ook wel bekend als GDPR) aangegrepen als kans om onze privacy- en gegevensbescherming volledig door te lichten. We wilden met een schone lei starten en ons richten op 2018. Als dienstverlener werken wij altijd op opdrachtbasis. Onze klanten verwachten van ons dat wij producten en diensten leveren die compliant zijn. Ze willen zo veel mogelijk zekerheid. We wisten dat de verplichte DPO er aan zat te komen en wilden ervoor zorgen dat we hier aan voldoen voordat onze opdrachtgevers er zelf om vragen.
Hoe is dit traject jullie tot nu toe bevallen?
We zijn begonnen met het vergroten van bewustwording in het hele bedrijf. Hiervoor was het belangrijk dat alle collega’s tot op zekere hoogte weten dat er een nieuwe privacywet aankomt, en wat dit betekent voor hun werkzaamheden.
Dit was nodig om ervoor te zorgen dat men op tijd signaleert dat iets invloed heeft op gegevensbescherming of privacy. Ik kan niet overal bij zijn, daarom is het belangrijk dat men dit oppakt en op het juiste moment naar mij toe komt. Dit signaleren is een gedeelde verantwoordelijkheid. We zijn als organisatie niet groot genoeg (30-40 medewerkers) om op elke afdeling iemand hiervoor aan te wijzen.
Deze manier van werken wordt door collega’s als positief ervaren. Ik hou niet alleen toezicht maar kan anderen op deze manier ook helpen.
Ook bij opdrachtgevers wordt het positief ontvangen. We merken dat we regelmatig beter op de hoogte zijn van veranderingen door de Algemene Verordening Gegevensbescherming dan onze opdrachtgevers. Doordat we op tijd met de AVG bezig zijn kunnen we eerder inspelen op veranderingen. We helpen onze opdrachtgevers ook bij deze bewustwording. Wij attenderen opdrachtgevers er bijvoorbeeld op dat een applicatie een update nodig heeft voordat het ‘AVG-proof’ is.
Heb je nog tips voor organisaties die nu op zoek gaan naar een FG?
De DPO hoeft volgens de AVG geen jurist te zijn, maar het is een stuk makkelijker als je wel wat achtergrondkennis hebt van privacywetgeving. Wijs niet zomaar iemand aan, maar kies iemand die thuis is in relevante wetgeving. Zonder scholing mis je bepaalde kennis, dan kost het meer tijd om de taken goed uit te voeren.
Zou je een organisatie die niet verplicht is een DPO aan te stellen aanraden het toch te doen?
Als je veel met data werkt maar niet zeker weet of een DPO verplicht is raad ik je aan het toch te doen, hoe klein je ook bent. Het kost geld om een DPO aan te stellen, maar een boete is altijd duurder.
Je hebt zelf een dubbelfunctie als marketeer en DPO, hoe kijk je aan tegen het risico op belangenconflicten? Ik bevind me in mijn functie vooral aan het einde van de keten. Daarbij ben ik niet betrokken bij het bedenken van campagnes, het maken van de applicaties of websites. Daardoor heb ik in mijn functie nog geen situaties meegemaakt waarbij mijn functie als toezichthouder een conflict opleveren met mijn taken als marketeer. Het is belangrijk om in de gaten te houden welke elementen van je functie een conflict kunnen opleveren.
Speciaal voor leden: DPO & Privacy by Design
Het document ‘DPO & Privacy by Design’ is alleen beschikbaar voor leden. In dit document zit een handige checklist om te bepalen of je verplicht bent een Functionaris Gegevensbescherming (FG) te benoemen. Plus een FAQ over de functie van een FG: zoals het invoeren van Privacy by Design.
Bekijk hieronder onze hele AVG-voorlichtingsserie: