Het is drie jaar geleden dat de Europese Unie begon met het toepassen van een baanbrekende wetgeving voor gegevensbescherming in de regio - de General Data Protection Regulation (beter bekend als GDPR). Het is de meest uitgebreide gegevens privacy en beveiligingswet ter wereld en reikt veel verder dan Europa. In het licht van een aantal belangrijke updates in het afgelopen jaar, herpubliceren we de oorspronkelijke serie artikelen uit 2018 om rekening te houden met hoe GDPR is geëvolueerd. In dit eerste stuk kijken we naar een van de belangrijkste aspecten - de aanstelling van een functionaris voor gegevensbescherming (Data Protection Officer, DPO).
Wat is een DPO precies?
Een vraag op Eenvoudig , maar het antwoord vereist enig begrip van de GDPR en de EU-regels voor gegevens privacy .
Het recht op privacy en bescherming van persoonsgegevens is voor elke EU-burger vastgelegd in het Handvest van de grondrechten (artikel 7 en 8). Persoonsgegevens moeten worden beschermd en de verwerking ervan moet een rechtmatig doel hebben en transparant zijn. Vóór 2018 was het belangrijkste instrument om dit te waarborgen een combinatie van EU-richtlijnen en lokale wetgeving in de verschillende lidstaten. Dat veranderde allemaal op 25 mei 2018 toen GDPR werd aangenomen in alle EU- en EER-lidstaten.
Een DPO (Data Protection Officer) beschermt de fundamentele vrijheden en rechten van betrokkenen met betrekking tot privacy en gegevensbescherming.
Met GDPR is de rol van de DPO in de EU-wetgeving vastgelegd. Voor sommige instellingen zal het hebben van een DPO Verplicht zijn, terwijl anderen ervoor kunnen kiezen zich aan te melden. De volgende organisaties zijn wettelijk verplicht om een DPO aan te stellen:
- Publieke/overheidsinstellingen
- Organisaties die bepaalde soorten gevoelige gegevens op grote schaal verwerken
- Organisaties die persoonsgegevens verwerken waarbij sprake is van grootschalige monitoring of bewaking
Daarom was itslearning een van de eerste LMS-aanbieders die een DPO aanstelde. Naast het toezicht houden op onze eigen naleving en het geven van advies en training aan onze eigen Medewerker, is onze DPO beschikbaar voor onze klanten en hun DPO's om problemen met gegevens privacy te bespreken. Ik vervulde die rol tot 2020, toen itslearning werd overgenomen door Sanoma Group. De functie wordt nu vervuld door Riika Turunen bij Sanoma. De details zijn beschikbaar op onze GDPR-pagina.
De rol van de functionaris voor gegevensbescherming
Dus terug naar de oorspronkelijke vraag, wat is een DPO? Een Eenvoudig manier om het te zeggen is dat DPO's werken om de fundamentele vrijheden en rechten van betrokkenen te beschermen met betrekking tot privacy en gegevensbescherming. Om ervoor te zorgen dat de DPO de rechten van de betrokkene op de eerste plaats zet, en niet die van zijn of haar werkgever, zijn er specifieke bepalingen in de GDPR om onafhankelijkheid te garanderen. Een DPO kan geen instructies krijgen of bestraft worden voor het werk dat hij of zij doet als voorvechter van gegevensbescherming. Hij of zij mag ook geen andere rol hebben die in strijd zou kunnen zijn met de bescherming van persoonsgegevens.
Een veelvoorkomend misverstand over de rol is de gedachte dat de DPO verantwoordelijk is voor de naleving van de GDPR. Het is eigenlijk hettegenovergestelde , een DPO kan geen formele rol hebben waarbij beslissingen worden genomen die GDPR-compliance kunnen beïnvloeden. Zie het als het verschil tussen een accountant en een accountant; de accountant kan de accountant adviseren en boekhoudtechnieken aanbevelen, maar moet onafhankelijk blijven.
Op dezelfde manier moet de DPO altijd worden geraadpleegd over belangrijke zaken met betrekking tot gegevensbescherming binnen zijn organisatie. Hij of zij zou de verantwoordelijkheid op zich kunnen nemen om de organisatie te trainen in hun plichten volgens de Europese regelgeving voor gegevensbescherming. De DPO moet ook in staat zijn om proactief de naleving te beoordelen en te controleren, en hierover verslag uit te brengen aan het hoogste managementniveau van de organisatie. De DPO is ook het aanspreekpunt voor de toezichthoudende autoriteiten in elk land die ervoor moeten zorgen dat persoonsgegevens eerlijk en rechtmatig worden verwerkt.
De DPO is ook verantwoordelijk voor het afhandelen van directe verzoeken van betrokkenen. Dit is echter beperkt tot verzoeken waarbij de organisatie verantwoordelijk is voor het doel van de verwerking (de verwerkingsverantwoordelijke). Voor itslearning geldt dat het merendeel van de gegevens die wij verwerken, namens onze klanten wordt verwerkt. Als u een Leerling, Docent of Ouder bent en gebruik maakt van de diensten van onze klanten, moet u contact opnemen met de instelling waar u bent ingeschreven om uw rechten uit te oefenen. Onze DPO zal echter doen wat ze kan om uw instelling te ondersteunen bij het beschermen van uw rechten.
Dankzij GDPR genieten mensen in Europa nu van het hoogste niveau van gegevens privacy ter wereld. Sinds de invoering ervan zijn meer mensen zich ervan bewust dat hun gegevens waardevol zijn en dat het risico op datalekken strikt moet worden beheerd. Bij itslearning nemen we gegevens privacy zeer serieus met een sterke toewijding aan GDPR en ISO 27001 normen.
Ga voor meer Informatie over GDPR en uw rechten als itslearning Persoon naar onze webpagina: itslearning GDPR compliant is.