De enorme impact dat de Algemene Verordening Gegevensbescherming (AVG) heeft gehad op bedrijven en organisaties, betekent dat ze hun hele manier van denken om hebben moeten gooien. Dit houdt ook in dat ze ruimte hebben moeten maken voor nieuwe rollen om ze te helpen met het behandelen van data om aan de nieuwe regels te voldoen.
Het overlapt wel, maar de rollen van de Functionaris Gegevensbescherming (DPO) en AVG-vertegenwoordiger zijn behoorlijk verschillend. In veel gevallen zijn beide nodig om het op de juiste manier verzamelen en verwerken van’ data van een individu op een rechtvaardige manier te laten verlopen. Deze twee rollen zijn het focuspunt van organisaties geworden, helemaal sinds het VK uit de Europese Unie is gestapt. Organisaties moesten zich aanpassen, want de handel tussen het VK en de EU is sterk gebleven, maar Brexit heeft tot de nodige veranderingen geleid om compliant aan de AVG te blijven.
Het is belangrijk om te vermelden, dat beide rollen in aanmerking komen om toegepast te worden wanneer een organisatie met enige regelmaat data verwerkt in de EU en het VK.
Wat is een Functionaris Gegevensbescherming (DPO)?
DPO’s zijn onafhankelijke databescherming experts met veel verantwoordelijkheden rond de rechtmatige en verantwoordelijke dataverwerking binnen organisaties. Een aantal van hun taken omvat:
● Het monitoren van de naleving van een organisatie van de databescherming regelgeving.
● Het informeren van organisaties over hun verplichtingen omtrent dataverwerking.
● Het geven van goed advies over DPIAs (data protection impact assessments) en het monitoren van hun prestaties.
● Het optreden als contact punt voor data-gerelateerde onderwerpen. Dit is inclusief de relevante supervisie autoriteit, zoals de AP (Autoriteit Persoonsgegevens) in Nederland.
Volgens de AVG zijn er veel organisaties die een DPO moeten toewijzen om naleving te garanderen. Als uw kernactiviteiten grote hoeveelheden gevoelige data verwerken of het op grote schaal regulier en systematisch monitoren, dan heeft u een DPO nodig. Deze experts zullen u helpen bij het monitoren van interne naleving. Ze garanderen ook dat u de data van medewerkers, klanten en andere individuen (zoals data identiteiten) in navolging van de gegevensbeschermingsregulatie van de AVG verwerkt.
DPO’s kunnen ook advies en training geven aan mensen binnen de organisatie. Hun expertise en kennis komen van pas voor medewerkers en HR-organisaties, maar ook managers in hun altijd evoluerende wereld van dataverwerking en -bescherming. Daarnaast kunnen ze als een verbinding werken tussen de organisaties en het publiek, met betrekking tot het verwerken van persoonlijke informatie.
DPO’s kunnen intern of extern werken. Een van de voordelen van een interne DPO, is dat ze kunnen optreden als een bron van constante ondersteuning en advies over regelgeving van gegevensbescherming. Veel organisaties hebben het liefste een externe DPO. Dit is onder andere omdat de dagelijkse gang van zaken dan niet gehinderd wordt en er geen interesseconflict ontstaat.
Wat is een AVG-vertegenwoordiger?
AVG-vertegenwoordigers doen precies zoals het woord klinkt – ze representeren een organisatie. Specifiek zijn AVG-vertegenwoordigers nodig voor bedrijven die geen branche, kantoor of andere basis hebben binnen een EU- of EEA-land, maar wel goederen of services bieden in de EEA, of het gedrag monitoren van individuen binnen de EEA. Simpel gezegd, om het werk voort te kunnen zetten en gevoelige data te verzamelen van identiteiten uit de EU, heeft u een AVG-vertegenwoordiger nodig om data te verwerken.
De EU AVG noodzaakt organisaties om een AVG-vertegenwoordiger binnen de EEA te hebben. Daarnaast, moeten ze gevestigd zijn in een EU of EEA staat, waar een aantal van de individuen, waarvan de data verzameld wordt, zijn gevestigd. Interessant genoeg, kunnen AVG-vertegenwoordigers een individu, een bedrijf of een organisatie zijn – zo lang ze bereid zijn om u te vertegenwoordigen betreffende in uw naam van uw dataverwerking verplichtingen in naam van de EU AVG. En u moet ze machtigen om u te vertegenwoordigen. Dit wordt schriftelijk gedaan. Dit om te bewijzen dat ze in uw naam uw EU AVG-naleving in handen hebben en dat ze met alle overkoepelende autoriteiten of data entiteiten van doen hebben.
Het is ook belangrijk dat de organisaties hun details van de AVG-vertegenwoordiger aan de EEA gebaseerde individuen geven, van wie de data wordt verwerkt. Dit kan makkelijk gedaan worden, door ze in uw privacybeleid te verwerken of met directe informatie, wanneer u begint met het verzamelen van hun data. Deze info moet makkelijk te bereiken zijn door de overkoepelende autoriteiten. Een goede manier dit te doen, is door het te publiceren op uw website. Uw toewijzing aan uw vertegenwoordiger moet schriftelijk gedaan worden en dient de termen van uw werkrelatie met de vertegenwoordiger te bevatten. Daarnaast is het belangrijk te vermelden dat het hebben van een AVG-vertegenwoordiger, uw verantwoordelijkheid en aansprakelijkheid onder de EU AVG niet veranderd.
Ondanks dat ze makkelijk met elkaar te verwarren zijn, is er een groot verschil in verantwoordelijkheid tussen DPO’s en AVG-vertegenwoordigers. In het algemeen zijn DPO’s nodig voor bedrijven, zaken en organisaties die met grote hoeveelheden persoonlijke data omgaan. Afhankelijk van uw organisatie en hoe u zakendoet, kan een AVG-vertegenwoordiger wel of niet nodig zijn.