Privacy-office as a service

Een van de zaken die de nieuwe privacywet ( de Algemene Verordening Gegevensbescherming) voorschrijft is dat sommige organisaties een privacy-office en een functionaris gegevensbescherming moeten aanstellen. Zo’n functionaris wordt FG of DPO genoemd en ziet toe op de juiste implementatie van de AVG. Hij/Zij is namens de organisatie het aanspreekpunt voor de Autoriteit Persoonsgegevens.

De AVG stelt dat u een FG moet aanstellen als u bijzondere persoonsgegevens verzamelt en gebruikt of , vrij vertaald, ‘structureel persoonsgegevens verzamelt  op een manier of omvang die toezicht vereist’.  Wat dat laatste precies inhoudt is nog niet uitgekristalliseerd Het lijkt wel er op dat ook kleinere bedrijven die intensief klant- of prospectinformatie gebruiken de FG rol moeten invullen. De EU noemt expliciet het voorbeeld van een beveiligingsbedrijf waarbij personen worden geobserveerd en dat  van een webwinkel waar profielen van bezoekers worden samengesteld.

privacy-office as a service

Een ‘eigen’ FG is voor u overkill. Het is wel zinvol om de kennis en kunde van een FG bij de hand te hebben. Ook al heeft uw organisatie een AVG implementatie project gedaan, u moet toch een aantal zaken onderhouden. De vereiste documentatie, impact analyses bij nieuwe dataverzamelingen, afspraken met partners waarmee u gegevens deelt zijn nu eenmaal niet statisch. Ze veranderen mee met de dynamiek van uw bedrijf. Bovendien moet een FG onafhankelijk kunnen opereren. Uw IT- manager of een medebestuurder deze rol geven kan niet  vanwege mogelijke belangenverstrengeling.

Heptagoon is gespecialiseerd in FG-werkzaamheden zoals die door de EU zijn vastgelegd

  • Controleert de naleving van de algemene verordening gegevensbescherming en adviseert (verplicht)
  • of er al dan niet een gegevensbeschermingseffectbeoordeling moet worden uitgevoerd
  • welke methodologie bij een gegevensbeschermingseffectbeoordeling moet worden gevolgd;
  • of de gegevensbeschermingseffectbeoordeling intern uitgevoerd of uitbesteed moet worden
  • welke waarborgen (waaronder technische en organisatorische maatregelen) moeten worden toegepast om eventuele risico’s voor de rechten en belangen van de betrokkenen te beperken;
  • of de gegevensbeschermingseffectbeoordeling al dan niet correct is uitgevoerd en of de conclusies (de verwerking al dan niet uitvoeren en welke waarborgen toepassen) al dan niet in overeenstemming zijn met de algemene verordening gegevensbescherming.