Interne DPO en interne druk

Geplaatst op door

Zoals reeds besproken in vorige blog posts, moet een verwerkingsverantwoordelijke of een verwerker een DPO aanstellen in bepaalde gevallen. Deze gevallen staan in de GDPR opgesomd.

Bovendien bepaalt de GDPR tevens de positie van de DPO.

Zo moet de DPO onafhankelijk zijn, tijdig worden betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens, ondersteund worden bij zijn of haar taken als DPO, mag de DPO geen instructies ontvangen bij de uitoefening van zijn of haar taken als DPO, enz.

De onafhankelijkheid van de DPO

Zoals reeds gezegd mag de DPO geen instructies ontvangen van de verwerkingsverantwoordelijke bij de uitoefening van zijn of haar taken als DPO.

Lees verder

Juistheid van de gegevens, data integriteit en data normalisatie

Geplaatst op door

Een van de beginselen inzake de verwerking van persoonsgegevens is dat de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen moet nemen om de juistheid, de integriteit en de vertrouwelijkheid van de verwerkte persoonsgegevens te kunnen waarborgen.

Integriteit van de persoonsgegevens

Om de integriteit van de verwerkte persoonsgegevens te kunnen waarborgen moeten verwerkingsverantwoordelijken passende beveiligingsmaatregelen nemen tegen ongeoorloofde wijzigingen, verlies en vernietiging van gegevens.

Maar hieronder zult u merken dat dit niet altijd zo eenvoudig is.

Lees verder

Passende technische en organisatorische maatregelen

Geplaatst op door

Een van de verplichtingen die op verwerkingsverantwoordelijken rusten is het nemen van passende technische en organisatorische maatregelen om aan te kunnen tonen dat zij verwerkingen uitvoeren die in overeenstemming zijn met de GDPR.

Maar wat zijn nu precies passende technische en organisatorische maatregelen?

In deze korte blog zal summier worden ingegaan wat deze maatregelen kunnen zijn, en aan welke voorwaarden ze dienen te voldoen.

Passende technische en organisatorische maatregelen

Met passende maatregelen wordt bedoeld maatregelen die rekening houden met de huidige stand van de technologie in de markt, en die toelaten de verwerking(en) die men uitvoert of van plan is uit te voeren optimaal te beveiligen.

Lees verder

Quick wins

Geplaatst op door

Organisaties hebben soms vaak de neiging om zich enkel te focussen op “Quick wins”.

Is, in het kader van de bescherming van persoonsgegevens, zich louter focussen op “quick wins” wel een goed idee?

Wat zijn “Quick wins”?

Quick wins zijn snel implementeerbare verbeteringen die men aanbrengt aan, doorgaans kleine, tekortkomingen bij de bescherming van persoonsgegevens.

Organisaties opteren hier o.a. voor om te kunnen aantonen dat zij wel “iets” ondernemen om tekortkomingen te verbeteren, en dat zij de privacy van de personen wiens persoonsgegevens ze verwerken au-serieux nemen.

Lees verder

Privacy beleid – intenties versus haalbaarheid

Geplaatst op door

Grote organisaties maken vaak iedere 3 tot 5 jaar beleidsplannen op waarin zij hun voorgenomen intenties kenbaar maken voor de eerstkomende 3 tot 5 jaar, zowel aan hun medewerkers als aan derden.

Deze beleidsplannen beschrijven hoe de organisatie de toekomst ziet, welke doelstellingen zij voor ogen heeft, en hoe zij zal trachten deze doelstellingen te verwezenlijken.

Zij bevatten ook een reden waarom de organisatie welbepaalde doelstellingen probeert te verwezenlijken.

M.a.w. een beleidsplan is een instrument voor planning, de verantwoording van de voorgenomen intenties en de communicatie aan de stakeholders van de organisatie.

Privacy en planning

Organisaties die veel (gevoelige) persoonsgegevens verwerken zouden ook een Privacy beleid moeten hebben.

Lees verder

Privacy – de holistische benadering

Geplaatst op door

In de praktijk rond privacy komt men doorgaans 2 tendensen tegen.

Enerzijds zijn er de informatici, meestal met een achtergrond in security, zoals CISO gecertificeerde IT-mensen, en anderzijds zijn er de pure regelgeving georiënteerde beoefenaars, doorgaans juristen of advocaten die een certifiering als DPO hebben bekomen.

In de praktijk komt men echter weinig mensen tegen die privacy benaderen vanuit een holistisch perspectief.

M.a.w. mensen die niet enkel rekening houden met security noch met regelgeving, maar ook met organisatie, beleid, processen en cultuur.

Lees verder

Interne versus externe DPO (DPO as a service deel 2)

Geplaatst op door

Wiens belangen verdedigt de DPO?

Verdedigt hij of zij de belangen van de organisatie die hem of haar heeft aangesteld of de belangen van de datasubjecten wiens persoonsgegevens de organisatie die hem of haar heeft aangesteld verwerkt?

DPO as bewaker van de belangen van de datasubjecten

Uit verschillende bepalingen van de GDPR kan men afleiden dat de DPO de belangen moet verdedigen van de datasubjecten wiens (gevoelige) persoonsgegevens de verwerkingsverantwoordelijke of de verwerker verwerkt.

Zo bepaalt de GDPR o.a. dat de DPO:

Lees verder

Interne versus externe DPO (DPO as a service)

Geplaatst op door

Een van de bepalingen van de GDPR is dat een verwerkingsverantwoordelijke of een verwerker een DPO (Data Protection Officer / Functionaris voor Gegevensbescherming) moeten aanstellen wanneer:

  • de verwerking verrricht wordt door een overheidsinstantie of -orgaan;
  • er sprake is van regelmatige en stelselmatige observatie op grote schaal van personen; of
  • er sprake is van een grootschalige verwerking van bijzondere categorieën van gegevens.

Hierbij kan de verwerkingsverantwoordelijk of de verwerker kiezen tussen een personeelslid als DPO of een DPO in het kader van een dienstverleningsovereenkomst.

De GDPR definieert tevens de positie van de DPO.

Lees verder