Datum
20.12.2024
De laatste Stay Tuned sessies van 2024 zijn ondertussen afgerond, een ideaal moment dus om even stil te staan bij een paar belangrijke lessen voor DPO’s. Nu zit iedere Stay Tuned natuurlijk boordevol informatie voor DPO’s, maar we kunnen bepaalde zaken zien waar de GBA steeds op hamert of nieuwe inzichten die leiden tot een aantal concrete punten die de DPO kan toepassen of nakijken.
Mailboxen van vertrekkende medewerkers.
Een stokpaardje van de GBA, met ondertussen al minstens 10 zaken waar dit voorbij komt, is hoe je om moet gaan met de mailbox van een vertrokken medewerker. De belangrijkste punten zijn dat de GBA vindt dat mailboxen meteen voorzien moeten worden van een Out Of Office melding (zonder automatisch doorsturen!) en binnen een maand moeten worden verwijderd, uitzonderlijk 3 maanden. Let op, dit zijn “best practice” insteken van de GBA, uitzonderingen zijn mogelijk maar zorg dat die goed gemotiveerd zijn!
Tussen haakjes, wie heeft ook het verwijderen van mandaten op overheidswebsites (eGov) op de off boarding lijst staan bij vertrek van een medewerker?
De Inspectie komt en neemt mee…
Wel, soms je hele GDPR-administratie: men wilt graag alles zien, inclusief zaken die niet rechtstreeks verband houden met de klacht. En dat mogen ze! Zo kan een klacht over een datalek bij een online platform leiden tot vragen over DPIA’s, de aanstelling van de DPO, gepast gegevensbeschermingsbeleid, data protection by design, etc. Een voorbereide DPO telt voor twee!
Advies over koekjes
Beslissingen over cookies bleven ook in 2024 aanhouden, en zelfs nog meer dan ooit. De krijtlijnen voor gepast omgaan met cookies zijn ondertussen duidelijk: naast hun eigen checklist zijn er ook meerdere zaken in de Geschillenkamer geweest over cookies. Belangrijkste punten: een “weigeren” knop meteen zichtbaar op je cookiebanner, niet in andere kleuren dan de “accepteer alles” knop, uiteraard geen cookies plaatsen voor men een keuze heeft gemaakt en in de footer een eenvoudige link om cookiekeuzes aan te passen.
Gerechtvaardigd belang
Terug van nooit weggeweest, maar de Geschillenkamer heeft ook in 2024 weer een flinke lijst met zaken waar ze uitgebreid het gebruik van gerechtvaardigd belang als rechtsgrond overloopt. Meest terugkomende kritiek: de belangenafweging is niet gedocumenteerd. Dus pak je register erbij en kijk na of je belangenafweging beschikbaar is voor verwerkingen die steunen op het gerechtvaardigd belang. Dat hoeft heus geen epistel van 10 pagina’s te zijn, desnoods overloop je in drie korte bulletpoints de essentiële elementen:
- Wat is het belang dat de verantwoordelijke nastreeft?
- Waarom is de verwerking noodzakelijk voor dit belang?
- Is de verwerking in lijn met de redelijke verwachtingen van de betrokkene, de mogelijke gevolgen van de verwerking en welke passende maatregelen zijn er genomen om het voorgaande te beperken?
De DPO ziet toe op naleving…
maar de maakt hen er niet verantwoordelijk voor. Excuses zoals “de DPO had een te hoge werkdruk” worden uiteraard niet geaccepteerd. Dan moet de verantwoordelijke voor extra middelen zorgen om dit op te vangen en te zorgen dat de GDPR wordt nageleefd. Dat laatste is tenslotte de verantwoordelijkheid van de verantwoordelijke (die term is nu eenmaal niet toevallig gekozen), en niet van de DPO!
Het moge duidelijk zijn, de DPO hoeft zich tijdens het Kerstverlof niet te vervelen. Wil je meer van dit soort pragmatische tips & tricks? Word of blijf ook in 2025 lid van Stay Tuned!
Datum
20.12.2024
