Selecteer een pagina

Dubbele rol Data Protection Officer levert Belgisch bedrijf boete van 50.000 euro op

De Belgische gegevensbeschermingsautoriteit (DPA) heeft een onderneming 50.000 Euro boete opgelegd omdat zij het hoofd van de afdeling Compliance, Audit en Risk heeft aangesteld als Data Protection Officer (DPO).

Volgens de Belgische gegevensbeschermingsautoriteit kan er geen twijfel over bestaan dat “de combinatie van de rol van DPO met die van hoofd van een afdeling die aan het toezicht van de DPO is onderworpen, de DPO ervan weerhoudt onafhankelijk te handelen.”

De uitspraak van de Belgische toezichthouder betekent dat het schier onmogelijk wordt om de rol van DPO te combineren met enige andere functie binnen een organisatie.

Als de DPO te hoog in de organisatie zit kan de gegevensbeschermingsautoriteit beweren dat hij/zij ook beslist over het doel en de middelen.

Als de DPO op een te operationeel niveau zit zou de gegevensbeschermingsautoriteit kunnen beweren dat hij/zij te veel betrokken is bij de eigenlijke verwerkingsactiviteiten (en dat hij/zij niet in staat is om rechtstreeks aan het hogere management te rapporteren).

Een oplossing voor dit probleem die steeds meer terrein wint is het zogenaamde accountantsmodel: intern een stevige Privacy Office met extern een toetsende en adviserende DPO.

Slechts 10 procent van de werknemers aangesproken op onzorgvuldige omgang met privacygevoelige informatie

De AVG leeft nog niet bepaald op de werkvloer. Werknemers worden nauwelijks aangesproken op het naleven van de Europese privacyregels. Werknemers spreken collega’s wel aan op het verzaken van huishoudelijke taken op kantoor.

Slechts 10 procent van de werknemers is al eens aangesproken op onzorgvuldige omgang met privacygevoelige informatie, blijkt uit onderzoek van Fellowes onder ruim 7000 respondenten uit zeven Europese landen, waaronder Nederland.

Fellowes is een bedrijf dat produkten verkoopt waarmee digitale en papieren databestanden veilig kunnen worden afgeschermd, opgeslagen of vernietigd.

Onduidelijk wie verantwoordelijk is voor privacybeleid

Uit het onderzoek blijkt tevens dat het niet altijd duidelijk is wie verantwoordelijk is voor de controle op omgang met privacygevoelige documenten.

Dertien procent heeft geen idee wie dit is.

Een derde (29%) van de werknemers geeft aan dat iedereen binnen het bedrijf verantwoordelijk is voor de naleving van de AVG. De
directie (21%) en de Data Protection Officer (15%) worden daarnaast het meest aangewezen als verantwoordelijke.

Opmerkelijk genoeg heeft een deel van de bedrijven nog niet een AVG-beleid (19%).

 

Bij de bedrijven die de wetgeving wel hebben doorgevoerd, houdt de meerderheid (64%) zich hieraan.

Echter weet 14 procent van de werknemers niet meer wat er in het privacybeleid van de organisatie staat.