Data protection officer erg belangrijk voor naleving databeveiliging
23 juli 2018 -
Voor veel organisaties is de functie van data protection officer (DPO) dit jaar de belangrijkste rol die ingevuld moet worden. Dit stelt Florent Gastaud, data protection officer (DPO) bij OVH.
De reden dat veel meer bedrijven en overheidsinstanties deze functie moeten vervullen, is omdat dit verplicht is voor een groot aantal organisaties sinds 25 mei 2018, de datum waarop de algemene verordening gegevensbescherming (AVG) in werking treedt.
De functie van DPO is de opvolger van de rol van data protection correspondent. Gastaud: "Laten we deze functie, wat deze inhoudt, de verantwoordelijkheden eens onder de loep nemen."
Positie
Gastaud: "De positie van de DPO binnen een organisatie is vaak het onderwerp van discussie binnen het management. De rol mag niet leiden tot belangenconflicten met andere verantwoordelijkheden van de persoon die de functie vervult. Dit is zo wettelijk vastgelegd door het Europees Parlement betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van deze data (AVG).
Zo kan en marketingmanager bijvoorbeeld niet als DPO werken. Vanwege de positie in de organisatie heeft die persoon belangen die in strijd kunnen zijn met het waarborgen dat gegevens uitsluitend op een correcte manier worden verwerkt.
Toch kent de AVG brede verantwoordelijkheden toe aan de DPO, waardoor hij zowel zichtbaar moet zijn voor, als gehoord moet worden door bestuur en management. Hij moet er dagelijks voor zorgen dat de manier waarop gegevens, die door zijn bedrijf worden verwerkt, worden verzameld en geanalyseerd in overeenstemming met de regelgeving. Bovendien is het niet de bedoeling dat de DPO instructies krijgt over hoe hij zijn taken moet vervullen."
De DPO mag geen onderdeel zijn van het topmanagement van de onderneming, maar hij moet hoog genoeg in de organisatie staan om over de vereiste middelen en data te kunnen beschikken en eenvoudig verslag te kunnen uitbrengen aan de besluitvormers binnen de organisatie. Dit alles met behoud van zijn onafhankelijkheid.
Regelgeving en IT-vaardigheden
Gastaud: "Er is geen minimumniveau aan ervaring of kwalificaties om als DPO te werken, toch bepaalt de AVG dat de DPO wordt benoemd op basis van zijn professionele kwaliteiten en dat hij met name bekend moet zijn met de relevante wet- en regelgeving.
DPO's moeten niet alleen juridische expertise hebben, maar ook de technische aspecten van de werking van IT-systemen en -beveiliging onder de knie krijgen. Deze rol vereist een uitstekende beheersing van de concepten achter risicoanalyse en een nauwkeurig gevoel voor organiseren, wat erg belangrijk is voor het opstellen van profielen en het coördineren van nalevingscampagnes.
Gastaud: "Bij universitaire opleidingen worden al deze vaardigheden vaak niet binnen één opleiding aangeboden en daarom is het vrij zeldzaam om een DPO te vinden die over alle vereiste vaardigheden beschikt. Op dit moment is er nog steeds een grote vraag naar."
Cultuur creëren
De DPO moet binnen zijn organisatie worden gezien en erkend, zodat een cultuur van dataverwerking die aan de eisen voldoet wordt bevorderd. Deze erkenning wordt verkregen via opleidings- en bewustwordingsprogramma's voor de medewerkers. Goede leervaardigheden zijn daarom van essentieel belang om interesse in dataverwerking te wekken bij medewerkers en ze tegelijkertijd goede voorbeelden te geven op het gebied van compliance en beveiliging.
Audits
Gastaud: "Idealiter en in overeenstemming met op maat gemaakte privacy wordt de DPO vooraf geraadpleegd over alle projecten om ervoor te zorgen dat projecten vanaf de ontwerpfase voldoen aan vereisten rondom de bescherming van persoonsgegevens. Om al bestaande afspraken binnen de organisatie te verifiëren, moet de DPO audits kunnen uitvoeren waarop een aangepaste planning volgt."
Contact voor de toezichthouders
De DPO is in eerste instantie verantwoordelijk voor het verstrekken van informatie en de behandeling van mogelijke crisissituaties en voor de reactie aan de toezichthoudende autoriteiten in het geval van een klacht van een persoon, een datalek of een inspectie. Hij is tevens het aanspreekpunt voor iedereen die zijn rechten – zoals toegang of rectificatie – wil uitoefenen.
Gastaud: "Kortom, de DPO regelt de correcte verwerking van gegevens voor de organisatie en is verantwoordelijk voor het bewaken van persoonlijke gegevens, zowel voor de het bedrijf waar hij voor werkt als voor alle burgers."
Het is een echte cyberoorlog die wordt gevoerd tegen overheden, bedrijven en individuen. Aanvallers worden geconfronteerd met defensieve tegenmaatregelen. Helaas zijn we getuige van een echte wereldwijde cyberwapenwedloop met zeer verschillende middelen, afhankelijk van de acteurs. En hoewel stijgende budgetten een positief effect hebben op de bekende effectiviteit van dreigingen, verandert het bedreigingslandschap in een zodanig tempo dat de investeringen van gisteren wellicht al onvoldoende zijn om de cyberdreigingen van morgen het hoofd te bieden.
