Met de zomervakantie voor de deur is het verstandig om afzenders van e-mails op de hoogte te stellen van je tijdelijke afwezigheid via een Out-Of-Office (OOO) bericht. Maar wat als je een DPO-mailbox hebt? Is het dan beter om een OOO in te stellen, of iemand anders de opvolging van de DPO-mailbox te laten doen? In dit artikel onderzoeken we de beste aanpak.

Waarvoor dient (doorgaans) de DPO-mailbox?

Een DPO-mailbox (bijvoorbeeld DPO@bedrijf.com) wordt vaak gebruikt voor allerhande interne en externe communicatie over GDPR-zaken. Dit adres wordt doorgegeven aan toezichthouders, vermeld in interne procedures, en opgenomen in de privacyverklaring op de website. Het is belangrijk te vermelden dat je zo’n adres alleen kunt gebruiken als je een DPO hebt aangesteld. Zo niet, kies dan een alternatief, zoals privacy@bedrijf.com.

Vertrouwelijkheid van de DPO-mailbox

De rol van de DPO is wettelijk vastgelegd en omvat een geheimhoudingsplicht. Dit betekent dat toegang tot de DPO-mailbox beperkt moet zijn om de vertrouwelijkheid van de communicatie te waarborgen. De Belgische Gegevensbeschermingsautoriteit (GBA) benadrukte dit in een zaak waarin de interne ICT-directeur toegang had tot de DPO-mailbox. Het delen van toegang tot deze mailbox is dus niet altijd verstandig (zie Beslissing 73/2020).

OOO-bericht: ja of nee?

Hoewel een DPO ook recht heeft op vakantie, kan een OOO-bericht problematisch zijn. De GBA heeft een bedrijf beboet omdat vragen van betrokkenen onbeantwoord bleven tijdens de afwezigheid van de DPO (Beslissing 87/2024). De boete die als sanctie werd uitgesproken was best pittig (meer dan 170k euro). Dit toont aan dat bedrijven, zelfs bij afwezigheid van de DPO, hun GDPR-verplichtingen moeten nakomen. Een OOO-bericht (zonder meer) is in zulke gevallen vaak niet de beste oplossing.

Wat is dan wel de beste aanpak?

Er zijn ongetwijfeld verschillende oplossingen om hiermee om te gaan. Zo kan het bijvoorbeeld een goede praktijk zijn om na te denken over de verdeling van vragen. Het kan nuttig zijn om vragen over de rechten van betrokkenen en algemene vragen over gegevensverwerking niet in de DPO-mailbox te verzamelen. Een algemeen e-mailadres (bijvoorbeeld privacy@), beheerd door meerdere medewerkers, kan een betere oplossing zijn. Zo blijft de DPO-mailbox (dpo@) voorbehouden voor vertrouwelijke communicatie, bijvoorbeeld met toezichthouders of medewerkers met gevoelige vragen over gegevensverwerking. Dit kan verder worden toegelicht in de privacyverklaring.
In zo’n geval kan een OOO-bericht op de dpo@ mailbox, die uitsluitend door de DPO wordt gelezen, wél een goede oplossing zijn om de afwezigheid van de DPO aan te geven, zolang er een systeem is om dringende vragen tijdig op te volgen.

Wil je meer praktische insights voor de rol van de DPO? Blijf dan up to date met Stay Tuned as DPO!

Blijf op de hoogte via onze nieuwsbrief

Blijf in contact met ons laatste nieuws, aanbiedingen en beschikbare opleidingen.

Newsletter
x

Blijf op de hoogte via onze nieuwsbrief

Blijf in contact met ons laatste nieuws, aanbiedingen en beschikbare opleidingen.

Newsletter
x

Schrijf je in