Awareness misverstand 4: 'De Data Protection Officer (DPO) is verantwoordelijk voor de privacy'

De uitspraak dat de Data Protection Officer (DPO) verantwoordelijk is voor privacy, is een misverstand. De DPO is namelijk niet persoonlijk verantwoordelijk voor de niet-naleving van de AVG. Deze verantwoordelijkheid ligt bij de verwerkingsverantwoordelijke of de verwerker; die moet kunnen aantonen dat de verwerking in overeenstemming is met de AVG.

De DPO heeft voornamelijk een toezichthoudende rol en moet “naar behoren en tijdig worden betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens" (AVG, art. 38). In het algemeen wordt de DPO vooral gezien als een gesprekspartner binnen de organisatie; de DPO maakt als intern geweten vaak deel uit van de relevante werkgroepen die zich binnen de organisatie met gegevensverwerking bezighouden.

De DPO moet daarbij echter wel de eigen onafhankelijkheid bewaken en om die onafhankelijkheid te ondersteunen bestaan er regels voor het aanwijzen van de DPO, de positie van de DPO en het vastleggen van de taken van de DPO. Zo moet de DPO bijvoorbeeld voldoende autonomie en middelen krijgen om zijn of haar taken doeltreffend te kunnen uitoefenen. Een concreet voorbeeld is de verplichting om de DPO zo vroeg mogelijk te informeren en consulteren bij de start en de uitkomsten van een Data Protection Impact Assessment (DPIA).

Het creëren van bewustwording over de verdeling van de verschillende AVG verantwoordelijkheden binnen een organisatie is daarom een belangrijk onderdeel van je awareness boodschap.

Kijk voor meer informatie over het creëren van bewustwording eens op onze elearning pagina of neem contact met ons op.