DPO : wie neemt de functie in ?

door | apr 29, 2019 | Advies, Cyber Security | 0 Reacties

Wat als de DPO-functie werd toevertrouwd aan een informaticus of een beveiligingsexpert? De IAPP-studie onderzoekt het.

Professionals op het gebied van gegevensbescherming en organisatiemanagers delen een gemeenschappelijke vraag: wie moet de beheerder van gegevensbescherming zijn? Sommigen beweren dat een jurist het meest geschikt is voor deze rol, anderen beweren dat een operationele professional een natuurlijke match is. Gezien de extreme moeilijkheid om de juiste profielen te vinden, stelt de IAPP (International Association of Privacy Professionals) een reeks ideeën voor. En de conclusies zijn verrassend

In het licht van de AVG hebben organisaties nu de plicht om een functionaris voor gegevensbescherming aan te stellen als zij een overheidsinstantie vertegenwoordigen, als zij systematisch toezicht houden op personen of als zij bepaalde gegevensverwerkingsactiviteiten uitvoeren. Veel bedrijven, die niet wettelijk verplicht zijn om een DPO aan te wijzen, doen dit echter in een poging om de beste praktijken op het gebied van gegevensbescherming na te leven en daarmee aan te tonen dat zij deze ook naleven. Op mondiaal niveau schat de IAPP dat er zo’n 75.000 DPO’s worden verwacht.

Een advocaat, echt?

Aanvankelijk werd de functie geassocieerd met het beroep van advocaat. In het kader van de algemene verordening van de Europese Unie inzake gegevensbescherming, wordt aanbevolen dat mensen die de wet en de vereisten ervan begrijpen, de schuld op zich nemen om bij te dragen aan de eerbiediging van de gegevensbescherming. Dit is zinvol: een juridisch geschoold persoon die de AVG begrijpt, kan de organisatie adviseren en beleid en contracten opstellen om de relevante wettelijke grenzen en verantwoordelijkheden te bepalen. Dit lost echter het probleem van operationele naleving op geen enkele wijze op …

Voor de IAAP is Facebook een lichtend voorbeeld. Facebook is een beursgenoteerd bedrijf dat duidelijk een juridisch team heeft om zijn verantwoordelijkheden te beheren. Het bedrijf staat echter ook in de schijnwerpers voor wat wordt beschouwd als de grootste schending van persoonsgegevens. Dit betekent niet dat het juridische team onbekwaam is. Men kan zich veeleer afvragen of het bedrijfsteam, de ingenieurs en de rest van de teams competent zijn of zelfs betrokken zijn bij het programma voor het beheer van de gegevensbescherming; men kan zich ook afvragen of het juridische team is geraadpleegd voor projecten …

Stel nu dat de juridische beroepsbeoefenaar ook op de hoogte is van de transacties. Zou dit de operationele naleving van de wetgeving garanderen? Dat is zeer onwaarschijnlijk. Een DPO kan niet dezelfde persoon zijn die de standaardwerkwijzen beheert, audits uitvoert, opleidingen organiseert en de gegevensbeschermingspraktijken binnen de organisatie dagelijks controleert.

Evenzo, als een begrip van de wet de sleutel of de enige overweging is voor de bekwaamheid van een functionaris voor gegevensbescherming, zou elke persoon met een professionele certificering voldoende zijn, aangezien advocaten zonder een dergelijke certificering minder gekwalificeerd zouden moeten zijn.

De IAPP stelt dan ook dat het niet de benoeming van een individu is, maar de benoeming van een commissie met de relevante achtergrond die een organisatie realistisch gezien in staat zal stellen om te werken aan operationele compliance op het gebied van gegevensbescherming

In Singapore hebben twee recente zaken aangetoond dat DPO’s, die geen advocaten waren, erin zijn geslaagd hun organisaties te verdedigen tegen nieuwe sancties, zoals boetes. Laten we ze ondernemingen A en B en hun DPO’s, respectievelijk DPO A en DPO B, noemen.

Prioriteit voor de uitvoering

Onderneming A is een bedrijf dat een lek heeft gehad van meer dan 100.000 registraties, wat perfect zou voldoen aan de vereisten van de meeste rechtsgebieden om als ernstige zaak te worden beschouwd die het bedrijf verplicht om de overtreding rechtstreeks aan de regulator te melden. Zodra hij zich bewust was van de ernst van het probleem, heeft DPO A een vertrouwelijkheidsadviesbureau ingeschakeld om de hoofdoorzaak van het incident en de mogelijke problemen binnen bedrijf A te onderzoeken. DPO A ontdekte dat zijn informaticaleverancier het IT-systeem waartegen de gegevens werden vrijgegeven onvoldoende beschermde en niet voldeed aan de beschermingsverplichtingen van onderneming A. Daarnaast stelde DPO A vast dat het personeel een opfriscursus nodig had. DPO A beëindigde de samenwerking met de informaticaleverancier en nodigde een team van vertrouwelijkheidsdeskundigen uit om alle managers op te leiden om het omschakelingsprogramma opnieuw te lanceren. Bovendien had DPO A eerder al een vertrouwelijkheidsonderzoek uitgevoerd om de relevante beleidslijnen en procedures voor te bereiden. Ondersteund door bewijzen van deze activiteiten kon DPO A aan de regulatoren aantonen dat onderneming A de privacy en de controle over haar activiteiten serieus neemt. Uiteindelijk hebben de regulatoren een waarschuwing gegeven aan onderneming A … zonder een boete.

Anderzijds is bedrijf B een bedrijf dat een klacht had ontvangen tegen de slechte vertrouwelijkheidspraktijken van zijn werknemers. De regulatoren hebben een onderzoek ingesteld en vastgesteld dat onderneming B haar geheimhoudingsplicht had ingevoerd, maar het personeelslid dat de inbreuk pleegde, handelde op eigen initiatief. Belangrijker nog, de medewerker had geweigerd de opleiding bij te wonen, hoewel onderneming B een team van deskundigen had ingeschakeld voor drie afzonderlijke sessies. Uiteindelijk, beslisten de regulatoren dat Bedrijf B niet inging tegen de Algemene Verordening Gegevensbescherming, terwijl het individu een boete kreeg.

Uit deze specifieke gevallen blijkt dat de sleutel tot aansprakelijkheid niet ligt in het feit dat de functionaris voor gegevensbescherming een juridische opleiding of kennis van informatiebeveiliging heeft, maar dat hij of zij heeft geholpen bij de toepassing van passende gegevensbeschermingspraktijken.

Een teamsport

De functionaris voor gegevensbescherming moet competent zijn en het vertrouwen hebben om met externe belanghebbenden, zoals toezichthouders, in contact te treden en leiderschapskwaliteiten te tonen in de samenwerking met interne teams.

Dit is essentieel, omdat AVG compliance een teamsport is waarbij IT, marketing, operations en vele andere afdelingen van het bedrijf betrokken zijn.

De AVG bevat een reeks zeer specifieke vereisten voor de rol van de functionaris voor gegevensbescherming, waaronder advies over risicobeoordelingen, tegenmaatregelen en effectbeoordelingen op het gebied van gegevensbescherming.

Dit betekent dat de DPO’s aanzienlijke praktische ervaring moeten hebben met privacycertificaten en informatiebeveiligingsnormen. Vaardigheden die een uitgebreide ervaring vereisen op het gebied van IT-infrastructuur en IT-systeemaudits. Aangezien de risico’s voortdurend evolueren, zullen de DPO’s bovendien de invloed van opkomende technologieën op deze risico’s moeten begrijpen.

Dit vereist een breed scala aan technische vaardigheden en ervaring, van het begrijpen van de vertrouwelijkheid van gegevens tot het beheren van informatierisico’s en het adequaat beschermen van informatie op basis van het risiconiveau via mensen, processen en technologieën. Dit alles maakt het de ideale rol voor een ambitieuze informaticus die geïnteresseerd is in alles wat te maken heeft met de vertrouwelijkheid van gegevens.

Bedrijven zullen duidelijk een pragmatischere benadering moeten kiezen en te weten komen of hun personeel IT of cybersecuritydeskundigen omvat die de rol van DPO met aangewezen opleiding en coaching kunnen opnemen.

 

In Maart Solutions Magazine

Oplossingen Magazine wijdt binnenkort speciale verslagen over de veiligheid van mobiele toepassingen :GDPR, Samenwerking & video, Home Protection

> Ik wil dat zichtbaarheid op dit onderwerp
> Abonneer u op de maandelijkse papieren

PUB

EMC
Summary
DPO : wie neemt de functie in ?
Article Name
DPO : wie neemt de functie in ?
Description
Wat als de DPO-functie werd toevertrouwd aan een informaticus of een beveiligingsexpert ? De IAPP-studie onderzoekt het.
Author
Solutions Magazine