Een DPO vaak wettelijk verplicht, ook voor u?
Sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) in 2018 moeten bedrijven die ‘regelmatig en stelselmatig’ persoonsgegevens verzamelen en dit op grote schaal doen, een Data Protection Officer (DPO), in het Nederlands Functionaris Gegevensbescherming (FG), aanstellen. “Onder andere ieder bedrijf dat een webshop heeft of klanten laat inloggen op een website, verzamelt persoonsgegevens. Doet een bedrijf dit regelmatig en op grote schaal (algemeen wordt aangenomen dat het om gegevens van 5.000 personen of meer moet gaan) dan is het aanstellen van een DPO verplicht. Helaas zien we dat bij veel bedrijven dat niet het geval is, ze voldoen dus niet aan wet- en regelgeving! Terwijl de boetes voor het niet naleven van de AVG extreem hoog kunnen zijn,” gaat Bosch van Rosenthal verder. De boete kan oplopen tot 20 miljoen euro of 4 procent van de jaaromzet. “Het schort overigens aan de handhaving. Er lijkt dus ook weinig druk te liggen op bedrijven.” Toch benadrukt Bosch van Rosenthal het belang van een DPO. “Als er een datalek ontstaat en je hebt je zaken niet voor elkaar, levert het je ook enorme reputatieschade op, keren lang niet alle verzekeringen uit en kunnen partijen schadevergoeding eisen omdat het bedrijf simpelweg niet aan de gestelde regels voldoet. Het lijkt me verder dat het management in een dergelijk geval met de broek op de spreekwoordelijke enkels staat.”
Een onafhankelijke blik
Maar wat doet een DPO nu precies? “Een DPO is een onafhankelijk persoon die van buitenaf kijkt hoe de AVG is ingevuld binnen een organisatie. Dat gaat dan zowel om IT-beveiliging, als ook om processen binnen het bedrijf en dat van derden. Neem bijvoorbeeld persoonsgegevens die op een USB stick gezet zijn en die een medewerker verliest. Was het noodzakelijk om die gegevens op een USB stick te zetten en mee naar huis te nemen? Als DPO maak je een risicoanalyse en geef je advies en mogelijke verbeteracties aan,” legt Bosch van Rosenthal uit. “Maar een DPO voert de acties niet zelf uit. Dat is de taak van het bedrijf of organisatie. Anders zou de slager vervolgens zijn eigen vlees keuren. En dat is nu precies wat de AVG moet voorkomen.” Om ervoor te zorgen dat een DPO zijn werk onafhankelijk kan uitvoeren, zijn er een aantal beschermingen opgenomen. “Je kan een DPO niet zomaar ontslaan omdat hij zijn werk uitvoert en het management op tekortkomingen wijst, net zoals je dat ook niet met een lid van de ondernemingsraad (OR) of medezeggenschapsraad (MR) mag doen.”
Grote organisaties hebben over het algemeen een DPO in dienst, maar voor kleinere bedrijven is het vaak lastig en te duur om iemand volledig vrij te maken voor een dergelijke functie. DPO’s worden om deze reden vaak ingehuurd. “Wij leveren gecertificeerde DPO’s die periodiek toetsen hoe het ervoor staat en daarop advies uitbrengen. De adviezen gaan naar het management, maar ook praten we met andere medewerkers om te kijken waar een en ander eventueel beter zou kunnen. Maar het beginpunt is altijd de risicoanalyse,” vertelt Bosch van Rosenthal.
Trust Guard AVG rapport
Een van de manieren om de risico’s van websites, naast het inzetten van een DPO, te analyseren, is het inzetten van de websitebeveiligingsscan van Trust Guard. Naast een eenvoudige gratis websitescan op het gebruik en de geldigheid van SSL-certificaten en andere controles, levert Trust Guard ook diepgaande (vulnerability) scans aan inclusief rapportage conform vele standaarden waaronder een AVG/GDPR-versie. Met deze periodiek scan en rapportage kun je met betrekking tot de website beveiliging aantonen dat je er alles aan doet om aan de AVG te voldoen.
“We hebben veel organisaties benaderd met de vraag hoe het ervoor staat met de naleving van de AVG. Er blijkt nog best wat werk aan de winkel te zijn voor de meesten. Een DPO is de aangewezen persoon om je daarbij te helpen. Om het proces in gang te zetten, om het te blijven volgen, maar ook om aan de eisen te voldoen die de wetgever stelt” besluit Bosch van Rosenthal.