DPO aanstelling en documentatie

Geplaatst op door

Organisaties zijn in bepaalde gevallen verplicht een functionaris voor gegevensbescherming, ook wel Data Protection Officer of DPO genoemd, aan te stellen.

Dit is o.a. het geval wanneer de verwerkingen van persoonsgegevens:

  • gebeurt door een overheidsinstantie;
  • hoofdzakelijk een regelmatige en stelselmatige observatie op grote schaal inhoudt;
  • hoofdzakelijk een grootschalige verwerking van bijzondere categorieën (ras, religie, lidmaatschap van een vakbond, medische gegevens, …) van gegevens inhoudt;
  • gebruik maakt van nieuwe technologieën en een hoog risico inhoudt;

Hoewel zij daar wettelijk niet toe verplicht zijn kunnen organisaties ook op vrijwillige basis een DPO aanstellen.

Men dient er rekening mee te houden dat de aanstelling van een DPO in principe ook geldt voor verwerkers wanneer zij aan de voorwaarden voldoen.

Het is dus niet omdat de verwerkingsverantwoordelijke een DPO heeft aangesteld dat de verwerker zelf geen DPO moet aanstellen.

Qualificatie

Niet zomaar iedereen kan als geschikt worden beschouwd om de functie van DPO te vervullen.

De DPO moet immers de kennis en vaardigheden hebben om de taken die hem of haar door de wet worden opgedragen in alle onafhankelijkheid uit te voeren.

De jobhouder hoeft niet noodzakelijk een jurist noch een informaticus te zijn. Hoewel beide formele achtergronden weliswaar niet alle kennisdomeinen en benodigde competenties dekken kan een dergelijke achtergrond wel helpen.

De keuze van de DPO moet daarom gebaseerd zijn op zijn of haar kennis inzake:

  • de wetgeving en praktijk met betrekking tot de bescherming van persoonsgegevens,
  • de business of de sector waarin de verwerkingsverantwoordelijke actief is.

Bovendien is de kennis van en ervaring met:

  • de informaticasystemen die bij de verwerkingsverantwoordelijke in gebruik zijn,
  • de organisatiestructuur en de bedrijfsprocessen van de verwerkingsverantwoordelijke

een belangrijke troef.

Documentatie

Hoewel niet expliciet voorzien in de GDPR, raadt de Gegevensbeschermingsautoriteit (GBA) de verwerkingsverantwoordelijke aan om de aanstelling en de keuze van de DPO te documenteren.

Deze documentatie laat de verwerkingsverantwoordelijke toe, in geval van betwisting, om aan te tonen dat er een weloverwogen keuze werd gemaakt bij de aanstelling van de DPO.

De keuze

Aangezien een DPO moet aangesteld worden op basis van zijn kennis en kwaliteiten op het vlak van wetgeving en praktijk inzake gegevensbescherming, zijn vertrouwdheid met de sector waarin de verwerkingsverantwoordelijke opereert, en bovendien kennis van informaticasystemen, organisatievormen en bedrijfsprocessen, worden deze elementen best door de verwerkingsverantwoordelijke gedocumenteerd.

Aanstelling

Indien de keuze voor een DPO valt op een interne medewerker, behoedt de verwerkingsverantwoordelijke zich er voor dat deze interne medewerker geen bijkomende conflicterende functie, zoals bijvoorbeeld hoofd of manager van de afdeling informatica, uitoefent die de onafhankelijkheid als DPO in het gedrang brengt.

Oefent de DPO ook een bijkomende functie en/of taken uit, dan documenteert de verwerkingsverantwoordelijke deze bijkomende functie evenals de daarbij horende taken en verantwoordelijkheden.

De taken en verantwoordelijkheden van de aangestelde DPO worden ook best opgenomen in de documentatie van de aanstelling.

Communicatie

Na de aanstelling van de DPO worden de contactgegevens van de aangestelde DPO zowel intern binnen de organisatie als extern, waaronder aan de GBA, gecommuniceerd.

Bloep, 22 maart 2026.