Interne versus externe DPO (DPO as a service)

Geplaatst op door

Een van de bepalingen van de GDPR is dat een verwerkingsverantwoordelijke of een verwerker een DPO (Data Protection Officer / Functionaris voor Gegevensbescherming) moeten aanstellen wanneer:

  • de verwerking verrricht wordt door een overheidsinstantie of -orgaan;
  • er sprake is van regelmatige en stelselmatige observatie op grote schaal van personen; of
  • er sprake is van een grootschalige verwerking van bijzondere categorieën van gegevens.

Hierbij kan de verwerkingsverantwoordelijk of de verwerker kiezen tussen een personeelslid als DPO of een DPO in het kader van een dienstverleningsovereenkomst.

De GDPR definieert tevens de positie van de DPO.

Onder andere bepaalt ze dat:

  • de DPO geen instructies ontvangt met betrekking tot de uitvoering van de taken als DPO;
  • de DPO niet wordt ontslagen noch gestraft bij de uitvoering van de taken als DPO;
  • de DPO rechtstreeks verslag uitbrengt aan de hoogte leidinggevende.

In deze korte blog zal op enkele van deze punten worden ingegaan.

De (interne) DPO ontvangt geen instructies

De GDPR zegt duidelijk dat de DPO geen instructies ontvangt met betrekking tot de uitvoering van de taken als DPO.

M.a.w. de DPO is een autonome medewerker binnen een organisatie, die volledig zelfstandig en naar eigen inzichten zijn of haar werkzaamheden als DPO bepaalt.

Echter, de wet inzake de arbeidsovereenkomsten zegt dat een werknemer verplicht is de bevelen en instructies op te volgen die de werkgever, zijn lasthebbers of aangestelden hem of haar geven.

De cruciale vraag hier is of beide vereisten met elkaar verenigbaar zijn?

Wat indien de interne DPO bijvoorbeeld weigert een voor de verwerkingsverantwoordelijke, de verwerker of hun lasthebbers of aangestelden (meestal het management) negatief advies, aanbeveling of vaststelling van ontoelaatbare of illegale verwerkingen voor een voorgenomen of bestaande verwerking in te trekken, of te wijzigen volgens de richtlijnen of instructies van de werkgever of diens lasthebbers of aangestelden?

En nadien slechte beoordelingen krijgt of geïntimideerd of bedreigd wordt omwille van zijn of haar intieel advies, aanbeveling of melding, omdat hij of zij de instructies tot wijziging en/of aanpassing van het initeel advies, aanbeveling of vaststelling van de werkgever niet heeft uitgevoerd?

Organisaties die interne DPO’s aanstellen lopen hier niet enkel het risico op inbreuken op de GDPR, maar ook op inbreuken op andere regelgevingen; zoals de wet op de klokkenluiders.

Het voordeel van een externe DPO (DPO as a service)

Afgezien van de expertise dat een externe DPO een organisatie kan bieden, zal het risico dat een verwerkingsverantwoordelijke, de verwerker of hun aangestelden of lasthebbers de DPO zal dwingen om zijn advies, aanbeveling of opmerkingen wegens de ontoelaatbaarheid of illegaliteit van bestaande of voorgenomen verwerkingen te wijzigen veel kleiner zijn.

Om die reden biedt een externe DPO een grotere garantie voor de onafhankelijkheid van de DPO zoals de GDPR vereist.

Bloep, 19 augustus 2025.