Achtergrond

Juridische vraag: Wanneer is het verplicht een data protection officer aan te stellen?

woensdag 7 december 2016, 16:27 door Arnoud Engelfriet, 11 reacties

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: In 2018 komt de Privacyverordening eraan. Eén van de plichten daaruit is het aanstellen van een data protection officer ofwel een functionaris gegevensbescherming. Maar welke bedrijven moeten dit nu verplicht doen?

Antwoord: De functionaris voor de gegevensbescherming oftewel de data protection officer (DPO) is een onafhankelijk en deskundig persoon binnen de organisatie van de verwerker met als taak informeren en adviseren over de omgang met persoonsgegevens. De functionaris mag een werknemer zijn of een extern ingehuurde kracht. Het idee is dat je zo meer nadruk op toezicht en naleving van de Privacyverordening kunt leggen.

Aanstellen van een functionaris voor gegevensbescherming is verplicht in drie situaties, zo staat in artikel 37 van de Verordening:

1. de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken; Overheidsinstanties dus (rechtbanken zijn kort gezegd vrijgesteld van toezicht wegens de rechterlijke onafhankelijkheid).

2. een verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen; Het moet dus gaan om het uitvoeren van regelmatige en stelselmatige observatie op grote schaal van betrokkenen. Te denken valt aan recherchebureaus, maar ook aan internetbedrijven die diensten aanbieden om websitebezoek zeer gedetailleerd te monitoren (analytics).

3. de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met grootschalige verwerking van [bijzondere en strafrechtelijke persoonsgegevens]; dit zijn bijvoorbeeld persoonsgegevens over ras, seksuele voorkeur of politieke gezindheid.

Er zijn dus géén getalsmatige criteria, zoals in eerdere concepten van de Verordening nog wel stonden. Diverse artikelen verwijzen hier nog naar, bijvoorbeeld dat je pas een functionaris nodig hebt vanaf 500 medewerkers of als je van 250 mensen of meer persoonsgegevens verwerkt. Dat is dus allemaal niet meer uit de wet af te leiden.

Nadere Europese of nationale wetgeving kan voorschrijven dat in andere gevallen een functionaris verplicht is (lid 4). Het staat organisaties vrij daarnaast vrijwillig een functionaris te benoemen (lid 4). En dat kan nut hebben: een bedrijf met een goed opererende functionaris zal minder snel door de toezichthouder worden besprongen met audits en boetes. En als je bedenkt dat die 20 miljoen per overtreding kunnen zijn, dan loont het best de moeite daarover na te denken.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Juridische vraag: Moet ik de gebruikers van mijn gezamenlijke netwerk kunnen identificeren?

Juridische vraag: Waarom moet ik bij een zakelijke installatie telkens opnieuw akkoord gaan met Microsofts EULA?

Reacties (11)

07-12-2016, 17:06 door Anoniem

Mag iemand die zich bezig houdt met security (CISO, security officer, ICT beveiliger, net hoe je het noemt) de rol van privacy officer 'erbij' doen?

Of is hij dan verantwoordelijk voor het uitvoeren van zijn eigen beleid?

07-12-2016, 18:40 door karma4 - Bijgewerkt: 07-12-2016, 21:55

De DPO moet onafhankelijk zijn voor de betrokken persoonsgegevens. Als de ciso niets met persoonsgegevens zou doen, dan valt dat te combineren. Echter met het werkelijk regelen van de toegang voor personen heb je toch met verwerken van persoonsgegevens te maken. De combinatie lijkt me lastig of de rol van de ciso zou alleen adviserende en controlerend zijn. Dan lijkt me dat te passen.

07-12-2016, 20:07 door Anoniem

Wij hebben die persoon als taak want het is na implementatie geen fulltime job, is gewoon onze CISO die daarnaast nog even een DPO cursus heeft gedaan.
Een CISO verwerkt meestal 0 persoonsgegevens, dat hij die kan inzien is iets anders.

08-12-2016, 08:51 door Anoniem

Door karma4: De DPO moet onafhankelijk zijn voor de betrokken persoonsgegevens. Als de ciso niets met persoonsgegevens zou doen, dan valt dat te combineren. Echter met het werkelijk regelen van de toegang voor personen heb je toch met verwerken van persoonsgegevens te maken. De combinatie lijkt me lastig of de rol van de ciso zou alleen adviserende en controlerend zijn. Dan lijkt me dat te passen.

lastig ja; onmogelijk nee.

Ik vind zelf dat het niet MOET kunnen .. maar wat ik vind en mag zijn meestal verschillende dingen. Verder vind ik een CISO een heel fout voorbeeld. Interessanter wordt het als je bijv een Security Engineer hebt (yours truly bijv) die ook een privacy rol vervult. Denk aan een mogelijkheid waarbij een Datalek wordt geconstateerd wat gemeld moet worden. Privacy gerelateerde data moet met 'afdoende' technische middelen beschermt worden (staat ook in de wet)
Moet ik als privacy officer nu een interview hebben met de persoon die verantwoordelijk is voor de technisch afdoende beschermende middelen? Dat wordt een aardige monoloog :)

gr
Eminus

08-12-2016, 11:19 door User2048

Door Anoniem: Wij hebben die persoon als taak want het is na implementatie geen fulltime job, is gewoon onze CISO die daarnaast nog even een DPO cursus heeft gedaan.
Een CISO verwerkt meestal 0 persoonsgegevens, dat hij die kan inzien is iets anders.

Van de website van de AP:
"Verwerken is: alle handelingen die een organisatie kan uitvoeren met persoonsgegevens, van verzamelen tot en met vernietigen.

Dit is dus een zeer ruim begrip. Handelingen die er volgens de Wet bescherming persoonsgegevens (Wbp) in ieder geval onder vallen, zijn: het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens."

Dat de CISO persoongegevens kan inzien is dus wel degelijk relevant.

08-12-2016, 11:24 door [Account Verwijderd]

[Verwijderd]

08-12-2016, 13:07 door Petor

Van alle onder de privacy-wetgeving te nemen maatregelen is informatiebeveiliging er één. De FG wordt geacht toe te zien op privacy-compliance over het hele wettelijke spectrum, dus bijvoorbeeld ook op de mate waarin een organisatie in staat is om aan het inzage- en correctierecht van betrokkenen te voldoen. Vereniging van FG en CISO in één persoon betekent dat in de rol van FG moet worden toegezien op de activiteiten die hij/zij als CISO ontplooit. Maak in dat geval de afweging of dat wenselijk is. Andersom is de kans groot dat de CISO onvoldoende juridische kennis heeft om de technische en organisatorische maatregelen te beoordelen die buiten het domein van informatiebeveiliging vallen, maar toch bepalend zijn voor de mate waarin de organisatie aan de wetgeving voldoet.

08-12-2016, 15:58 door Anoniem

Door User2048:

Relevant misschien maar niet onmogelijk. een DPO is een rol en geen functie. Elk moment dat je het gaat om een rol kunnen er mogelijke belangenverstrengelingen ontstaan. In mijn laatste contact met de Vereniging van Functionarissen Gegegevensbescherming werd heel duidelijk gemaakt dat er geen bezwaar was tegen een mix van functies (als het maar goed beschreven was)

gr
Eminus

08-12-2016, 17:24 door Anoniem

De functionaris mag een werknemer zijn of een extern ingehuurde kracht.

Nu nog een goede controle op de persoon die het gaat uitvoeren
i.v.m de groeiende corruptie in dit land.

08-12-2016, 21:57 door karma4

Mooie reacties eminus user2048 Petor OPenXor Anoniem. Het blijft worstelen of het met die rollen combineren wel goed zit.
Nu we het over rollen hebben. Rol-based access zou op het niveau van dat rollen moeten werken.
Wat je gewoonlijk ziet is dat men de rechten van een bepaald persoon (zijn fte-functie) als rol based ziet. Begin eens met advies om dat te beperkte gezichtsveld te doorbreken .

11-12-2016, 22:15 door Anoniem

Door karma4: Mooie reacties eminus user2048 Petor OPenXor Anoniem. Het blijft worstelen of het met die rollen combineren wel goed zit.
Nu we het over rollen hebben. Rol-based access zou op het niveau van dat rollen moeten werken.
Wat je gewoonlijk ziet is dat men de rechten van een bepaald persoon (zijn fte-functie) als rol based ziet. Begin eens met advies om dat te beperkte gezichtsveld te doorbreken .

Het blijft ontzettend lastig. Ik ben bij de privacy training geweest om mij verder wat in de stof te verdiepen en hoewel de theorie ontzettend goed is, blijkt alsmaar weer dat theorie en bedrijfsleven niet echt op elkaar aansluiten.
Mochten ze dan alsnog in elkaars verlengde liggen, dan worden veelal de grotere bedrijven als voorbeeld genomen.

Resultaat van dit alles is wel dat ons bedrijf'je' van 2250 mensen met een hoofdkantoor in de US of A toch wel wat uitdagingen heeft. Weleens met een Amerikaanse CIO gediscussieerd over privacy? ... ai ai... Ik denk dat het verhaal uitstekend samenvat waarom ze besloten hebben om een Security Engineer als privacy officer neer te zetten. :( geen geld.. geen resources en vooral geen zin om er resources voor te maken.

gr. Eminus

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Switchen naar een dumbphone wegens:

Vacature

Toezichthouder informatiebeveiliging Overheid

Rijksinspectie Digitale Infrastructuur (RDI)

Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.

Lees meer

Vacature

Adviseur Informatiebeveiliging

Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!

Lees meer

Vacature

Digital Designer

Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.

Lees meer

Vacature

Senior Full Stack Developer

Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

Juridische vraag: Wanneer is het verplicht een data protection officer aan te stellen?

Switchen naar een dumbphone wegens:

Wachtwoord Vergeten

Password Reset

Registreren