De Algemene Verordening Gegevensbescherming, gekender als de GDPR, heeft de functionaris voor gegevensbescherming of DPO in het leven geroepen. De GDPR bepaalt in welke gevallen er een DPO moet worden aangeduid. De vraag of IBP’s (1) eveneens verplicht zijn om een DPO aan te duiden werd door de wijziging van de KSZ-wet in september 2018 positief beantwoord. Een jaar later blijkt echter dat heel wat IBP’s dit nog niet hebben gedaan. Daarom geven wij hieronder een checklist met alle to do’s voor de aanduiding van een DPO door de IBP.
Checklist
- Formele beslissing Raad van Bestuur van de IBP tot aanduiding van de DPO
- Opstellen dienstverleningsovereenkomst tussen de IBP en de DPO (wanneer de DPO een externe dienstverlener is);
- Meedelen identiteit en contactgegevens van de DPO aan:
- de personen wiens persoonsgegevens worden verwerkt;
- de Gegevensbeschermingsautoriteit (via het elektronisch formulier (2));
- de Kruispuntbank van de sociale zekerheid (via het vereiste formulier (3));
- Identiteit en contactgegevens van de DPO toevoegen aan de sleuteldocumenten van de IBP.
In sommige gevallen beschikt de IBP zelf over een toegang tot het rijksregister. Indien in het verleden deze toegang werd verleend aan de IBP, moet de identiteit en de contactgegevens van de DPO ook aan de FOD Binnenlandse Zaken worden meegedeeld.
(1) Instellingen voor bedrijfspensioenvoorziening.
(2) https://www.gegevensbeschermingsautoriteit.be/formulier-mededeling-contactgegevens-functionaris-voor-gegevensbescherming.
(3) https://www.ksz-bcss.fgov.be/sites/default/files/assets/gegevensbescherming/2019_data_protection_officer_nl_socsec.pdf.