FIKZ

Contentmarketing en copywriting

Heb ik een Data Protection Officer nodig?

Je bent hier: FIKZ / Blog / Heb ik een Data Protection Officer nodig?

Wat doet een Data Protection Officer (DPO)

Wie veel persoonsgegevens verwerkt, of werkt met gevoelige gegevens, is verplicht om een Data Protection Officer aan te stellen. Dit kan een intern of extern persoon zijn. De DPO zal opvolgen of de opgestelde privacyregels voldoende worden opgevolgd en is het aanspreekpunt bij privacyklachten.

Wanneer heb ik een data protection officer nodig binnen gdpr?

Een Data Protection Officer is nodig in volgende gevallen (artikel 37, lid 1, van de GDPR):

  • wanneer de verwerking van gegevens door een overheidsinstantie wordt verricht;
  • wanneer de kerntaken van de verwerker bestaan uit verwerkingen die regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen;
  • wanneer de kerntaken van de verwerker bestaan uit verwerking op grote schaal van speciale categorieën van gegevens of van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten.

Voor de meeste bedrijven zal dus enkel de tweede regel gelden. Maar wat betekenen ‘kerntaken’, ‘stelselmatig’ en ‘op grote schaal’?

Kerntaken binnen GDPR

Kerntaken zijn handelingen die onlosmakelijk deel uitmaken van de hoofdactiviteit van je onderneming. Een ziekenhuis heeft bijvoorbeeld niet als hoofdactiviteit het verzamelen van gegevens van patiënten, maar dit maakt wel onlosmakelijk deel uit van de werking van een ziekenhuis. Zonder deze gegevens kunnen ze geen goede werking garanderen. Gegevensverwerking is zo dus een toch een kerntaak voor ziekenhuizen.

Verwerken op grote schaal

Wat ‘op grote schaal’ precies inhoudt wordt niet verduidelijkt door de GDPR. Bij het beoordelen hiervan zal gekeken worden naar het aantal betrokkenen, de hoeveelheid gegevens, het bereik, duur of permanentie van de gegevensverwerking en de geografische omvang van de activiteit.

Administratieve boetes GDPR

Een van de meest besproken onderdelen van de GDPR zijn de boetes. Deze kunnen bijzonder hoog oplopen. Als je geen of onvoldoende rekening houdt met de nieuwe GDPR, kan dit leiden tot een boete van 2 tot 4% van de wereldwijde omzet. Je neemt dus best je voorzorgen.

Datalekprocedure binnen GDPR

Elk bedrijf moet een datalekprocedure opstellen. In deze procedure beschrijf je wat er moet gebeuren als de privacy geschonden wordt. Houd ook rekening met de meldingsplicht van deze datalekken: je moet de privacycommissie binnen de 72 uur op de hoogte brengen.