Wanneer is een DPO (Data Protection Officer) nodig

De werkgroep rond de Europese privacywetgeving geeft meer uitleg over welke bedrijven een DPO (Data Protection Officer)moeten aanstellen. Lees hier welke criteria de doorslag geven.

Tegen 25 mei 2018 moet een grote groep bedrijven in Europa op zoek naar een DPO – een data protection officer. Dat staat in de nieuwe privacywetgeving te lezen die over twee jaar in voege treedt. Wie precies verplicht is om een DPO aan te nemen, en wie niet, wordt in de wettekst echter niet duidelijk gespecifieerd.

 

De GDPR en de DPO

In de GDPR-wetgeving worden strengere regels in verband met dataverwerking opgelegd. Persoonsgegevens kunnen vanaf 2018 enkel nog verzameld worden met de toestemming van het subject, en moeten verwerkt worden met de grootste zorg voor privacy en veiligheid. Bepaalde bedrijven worden verplicht om iemand aan te nemen die daarbij een oogje in het zeil houdt: de data protection officer.

De data protection officer zal erop toekijken dat het bedrijf de data bewaart en verwerkt volgens de regels van de GDPR. Hij kan met andere woorden onderzoeken hoe de data wordt verwerkt, met welke systemen dat gebeurt en kan op basis daarvan adviseren om bepaalde dingen aan te passen. Zelf draagt hij geen verantwoordelijkheid: indien de GDPR niet wordt nageleefd is niet hij, maar het bedrijf volledig aansprakelijk. De DPO fungeert met andere woorden louter als adviseur en toezichthouder. In bedrijven waar het naleven van de GDPR een uitdaging vormt, of overtredingen een grote impact inhouden, is het aanstellen van zo’n DPO verplicht. Maar welke bedrijven zijn dat net?

In de wettekst

De GDPR is niet helemaal duidelijk in zijn definitie. Oorspronkelijk werd voorgesteld dat bedrijven met minder dan 250 werknemers vrijgesteld werden, maar die clausule heeft het in de definitieve wetgeving niet overleefd. In de uiteindelijke tekst wordt vermeld dat overheidsbedrijven, of organisaties die strafrechtelijke data verwerken, alvast zeker zijn van een verplichte DPO. Bij bedrijven die niet in die twee categorieën vallen, is dat minder zwart-wit. Officieel wordt in de wettekst beschreven dat zulke organisaties een data protection officer moeten aannemen wanneer:

•  een verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen.

Echt sluitend is die definitie niet: er wordt niet gezegd wat “regelmatig en stelselmatig” is of hoeveel data net onder de noemer van “grote schaal” zou vallen. Daarom publiceerde de werkgroep rond de wetgeving – Article 29 Working Party (WP29) – onlangs toelichting bij die termen. De groep raadt aan om een analyse te maken van de dataverwerking binnen je bedrijf om te zien of je binnen de bovenstaande criteria past, “tenzij het heel duidelijk is dat je organisatie geen DPO nodig heeft”. Ze leggen uit wat die criteria nu net inhouden.

 

 

1. Wat zijn de kernactiviteiten?

In het Engels luidt de omschrijving van bedrijven die een DPO nodig hebben iets anders dan het bovenstaande. Daar draait de omschrijving om de ‘kernactiviteiten’ van een bedrijf; iets waar de Nederlandse beschrijving enkel naar verwijst met het woord ‘hoofdzakelijk’. Kortweg: er wordt gekeken naar hoe belangrijk de dataverwerking is in het bedrijf. De WP29 geeft het voorbeeld van een ziekenhuis. Om patiënten te helpen, moet het ziekenhuis hun dossiers verwerken. De kernactiviteit is gezondheidszorg, maar die activiteit zou onmogelijk worden zonder de verwerking van gevoelige persoonsgegevens. Binnen het ziekenhuis moet de dataverwerking dus bekeken worden als een deel van de kernactiviteit, en daarom is de aanstelling van een DPO verplicht.

Belangrijk is dat elk bedrijf wel persoonsgegevens moet verwerken om te functioneren, bijvoorbeeld de bankgegevens van werknemers om hun loon te storten of inloggegevens op het bedrijfsnet om IT-support te kunnen bieden. De verwerking van zulke data is wel noodzakelijk, maar wordt niet gezien als een kernactiviteit.

2. Wordt data op “grote schaal” verwerkt?

Misschien wel een van de vaagste omschrijvingen: dataverwerking op “grote schaal”. In de wettekst zelf wordt uitgelegd wat zeker wél en zeker niet tot die grootteorde behoort. Zo is dataverwerking op grote schaal in elk geval verwerking van gegevens op “regionaal, nationaal of supranationaal niveau” en behoort een dokter of advocaat die de gegevens van klanten verwerkt niet tot die categorie. Alles wat daartussen zit, blijft een grijze zone. WP29 geeft enkele meer genuanceerde voorbeelden van dataverwerking op grote schaal:

•  verwerken van patiëntendata door ziekenhuizen;

•  verzamelen van reisdata van burgers op de bus;

•  verwerken van klantendata door een verzekeraar of bank;

•  verwerken van persoonlijke data voor ‘behavioural advertising’.

Om te beslissen of een organisatie al dan niet data verwerkt op grote schaal, moet worden gekeken naar het aantal datasubjecten, het volume van de data, de tijdsduur waarin de data wordt verwerkt en het geografisch gebied van het verwerken, geeft WP29 nog mee.

3. Doet het bedrijf aan “regelmatige en stelselmatige observatie”?

Het regelmatig en stelselmatig observeren van gebruikers is een andere mogelijke indicatie dat je best een DPO aanneemt. Onder regelmatig en stelselmatig begrijpt WP29 gebruikers herhaaldelijk of constant in het oog houden, en op een georganiseerde manier. Elke vorm van volgen (“tracking”) en profileren op het internet valt onder deze noemer, waarschuwt de werkgroep. Voorbeelden zijn een telecomnetwerk beheren, e-mail retargeting, locatiegegevens tracken door mobiele apps, het monitoren van data via wearables, en meer.

Zowel processor als controller

De WP29 voegt nog toe dat een DPO verplicht kan worden voor de verwerker (processor) – de organisatie de verwerking uitvoert – als de verwerkingsverantwoordelijke (controller) – de organisatie die het doel van de verwerking bepaalt. Een voorbeeld moet dat duidelijk maken.

Een klein familiebedrijf dat huishoudtoestellen verkoopt, gebruikt de diensten van een verwerker die gespecialiseerd is in online analytics en advertenties. Het familiebedrijf moet geen DPO aannemen: hun bereik is te klein en ze hebben te weinig klanten om in aanmerking te komen. De processor moet wel een DPO aanstellen, aangezien ze veel van dergelijke familiebedrijven bedienen en aan dataverwerking doen ‘op grote schaal’.

Het kan daarnaast ook dat het bedrijf en de verwerker allebei een afzonderlijke DPO moeten aannemen, die dan samen moeten werken.

Drie criteria

Gecombineerd vormen de bovenstaande drie criteria het prototype organisatie dat alvast een vacature voor data protection officer kan plaatsen: een bedrijf dat voor zijn dagdagelijkse werking een grote hoeveelheid – al dan niet gevoelige – persoonsgegevens verwerkt. Concreter dan dat wordt het voorlopig niet.

Bron: SmartBusiness (http://www.smartbiz.be)