De Data Protection Officer (DPO) en zijn beroepsaansprakelijkheid

De Data Protection Officer of kortweg de DPO is een nieuw ‘beroep’ dat ontstaan is als gevolg van de GDPR-wetgeving. Bedrijven stellen een DPO aan om zich te beschermen en zich te houden aan deze nieuwe wetgeving. Maar welke verzekering beschermt de DPO?

De Data Protection Officer (DPO) en zijn beroepsaansprakelijkheid

De verantwoordelijkheden van een DPO of Data Protection Officer

Door de inwerkingtreding van de GDPR (wet voor de bescherming van persoonsgegevens) op 25 mei 2018 zijn heel wat bedrijven wettelijk verplicht om een Data Protection Officer (DPO) aan te stellen of beroep te doen op een externe DPO. Hieronder een korte opsomming van wat het takenpakket van een DPO onder meer inhoudt:

• De DPO is verantwoordelijk voor de algemene strategie voor de bescherming van de persoonsgegevens.
• Hij informeert en adviseert het bedrijf over het voldoen aan de GDPR-eisen.
• Wanneer de overheid controles uitvoert in het kader van de GDPR, zal de DPO het eerste aansprekingspunt zijn. Hiervoor dient hij gegevens bij te houden van de geleverde acties inzake GDPR.

De DPO fungeert dus vooral als adviseur en toezichthouder in het kader van de bescherming van de persoonsgegevens. Maar wat als de DPO een fout maakt? Wie beschermt hem dan?

'Interne' Data Protection Officer vs 'externe' consultant

Een bedrijf dat een DPO aanstelt heeft twee opties:

• Er is de mogelijkheid om een werknemer intern aan te stellen als DPO wanneer deze daarvoor gekwalificeerd is.
• Of het bedrijf kiest ervoor om een externe consultant als Data Protection Officer aan te nemen.

Het grote verschil tussen beide partijen is de verantwoordelijkheid in taken. De interne DPO wordt volledig gedekt door de aansprakelijkheidsverzekering van het bedrijf. Terwijl de externe DPO wel aansprakelijk gesteld kan worden voor zijn beroepsfouten. In het volgende deel leggen we kort uit hoe hij zich hiervoor kan indekken.

Hoe de DPO zich kan beschermen

In de eerste plaats is het belangrijk voor de DPO dat hij niet als verantwoordelijke kan aangesteld worden, wanneer een bedrijf de GDPR-wetgeving niet heeft nageleefd. De aansprakelijkheid ligt hiervoor volledig bij het bedrijf.

De Data Protection Officer moet zich echter wel beschermen tegen de taken die onrechtstreeks te maken hebben met de GDPR-wetgeving en waarvoor zijn opdrachtgever hem wel aansprakelijk kan stellen.

Door het nemen van een verzekering beroepsaansprakelijkheid met de juiste nuances inzake data protection beschermt hij zichzelf tegen de intellectuele beroepsfouten die hij zou kunnen maken in de uitoefening van zijn activiteit.

Enkele voorbeelden uit de praktijk

Een rondvraag bij verschillende verzekeraars leverde onderstaande voorbeelden op van situaties waarin de verzekering BA beroep kan tussenkomen om de DPO te beschermen. Let wel: deze cases zijn exemplatief. Elke case is verschillend en wordt individueel door de betrokken experten bekeken en beoordeeld.

● De DPO verleent verkeerd advies in het privacybeleid van de klant waardoor klantgegevens gelekt worden.
● De DPO houdt verscheidene belangrijke gegevens van de klant bij inzake dataverwerking en raakt deze kwijt.
● Klant lijdt financieel verlies door verkeerd advies inzake de GDPR-wetgeving en de verwerking van data.
● De DPO werkt heel software-systeem uit voor de dataverwerking en bij een software-upgrade wordt de klant geconfronteerd met verlies van gegevens.

Nood aan een verzekering beroepsaansprakelijkheid als DPO?

Bent u reeds Data Protection Officer of gaat u uw activiteiten hiernaar uitbreiden en wenst u graag advies over hoe u zich optimaal kan beschermen? Contacteer ons dan vrijblijvend via 03/217.67.53 of cpl@vanbreda.be wij helpen u graag verder.

Jesse Mertens

Wij zijn er voor u.

Schrijf u in op onze nieuwsbrief.