DPO als dienst
DPO als dienst
Een aangewezen, onafhankelijke functionaris voor gegevensbescherming voor kantoren waarvan de dossiers te gevoelig zijn voor improvisatie en te klein voor een voltijdse aanwerving — werkend op het platform waar uw bewijs al leeft.
Een antiwitwaspraktijk is per constructie een randgeval van gegevensbescherming: identiteitsdocumenten, UBO-structuren, screeningresultaten, vermoedensdossiers — waarvan veel strafrechtelijk terrein raakt onder art. 10 AVG. Dat is precies het profiel waar een functionaris voor gegevensbescherming ophoudt optioneel te zijn en begint gecontroleerd te worden. Wij leveren de functionaris.
Wanneer een DPO ophoudt optioneel te zijn
Art. 37 AVG vereist een DPO wanneer de kernactiviteiten regelmatige en stelselmatige observatie op grote schaal inhouden, of grootschalige verwerking van bijzondere categorieën of van gegevens over strafrechtelijke veroordelingen en strafbare feiten (art. 10).
Het compliancedossier van een meldingsplichtige entiteit is precies dat: continue screening van cliënten tegen sanctie- en PEP-lijsten, negatieve-mediacontroles, transactiemonitoring en vermoedensregistraties — strafrechtelijk-nabij van aard. Toezichthouders hanteren een ruime lezing van 'grote schaal' wanneer de verwerking intensief is in plaats van louter volumineus.
Zelfs waar de aanwijzing betwistbaar vrijwillig is, verandert het aanstellen uw positie: de autoriteit ontmoet een professionele tegenhanger in plaats van een improviserende kantoormanager.
Wat uw externe DPO werkelijk doet
Aanwijzing & registratie
Formeel aangewezen onder art. 37, geregistreerd bij de toezichthouder (in België de GBA), gepubliceerd als uw art. 38(4)-contactpunt voor betrokkenen.
Verwerkingsregister
Het art. 30-register opgebouwd en onderhouden op uw echte activiteiten — met de AML-rechtsgronden per gegevenscategorie, geen gekopieerde sjablonen.
GEB's waar het telt
Gegevensbeschermingseffectbeoordelingen (art. 35) voor de verwerking die werkelijk risico draagt: screeningpijplijnen, portaalidentiteitsflows, monitoringlogica.
Inbreukrespons, op de klok
Beoordeling en melding van inbreuken binnen het 72-uursvenster (arts. 33–34), met de tijdlijn bewezen terwijl ze loopt.
Verzoeken van betrokkenen
Inzage-, correctie- en verwijderingsverzoeken binnen de maand afgehandeld — inclusief de delicate uitzondering waar MOT-gerelateerde gegevens het mededelingsverbod raken.
Opleiding & bewustzijn
Personeelsinstructie over de AVG-plichten die in het dagelijks werk van een meldingsplichtige entiteit echt opduiken, verweven met uw bestaande AML-opleidingscyclus.
Onafhankelijkheid is de hele pointe
Art. 38 AVG eist een DPO die rapporteert aan het hoogste leidinggevende niveau, geen instructies over zijn taken ontvangt en geen conflicterende functie bekleedt. In een klein kantoor is wie de dossiers het best kent er meestal ook verantwoordelijk voor — precies het conflict dat art. 38(6) verbiedt.
Een externe DPO lost het conflict structureel op. De onze komt met de sectorcontext al geladen: wij weten hoe een notarieel aktedossier, een UBO-uittreksel en een goAML-export eruitzien, omdat wij het platform bouwen waarop ze leven.
Binnen het bereik
- Formele DPO-aanwijzing, registratie bij de autoriteit en het publieke contactpunt
- Verwerkingsregister gekoppeld aan uw werkelijke AML-gegevensstromen
- GEB-opstelling en -review voor verwerkingen met hoog risico
- Inbreuktriage, 72-uursmeldingen en communicatie met betrokkenen
- Verzoekontvangst en -beantwoording, met de AML/tipping-off-grens beheerst
- Bewaarschema's die de vijfjarige AML-plicht verzoenen met opslagbeperking
- Jaarlijkse gegevensbeschermingsreview met een bestuursklaar rapport
Bewust buiten het bereik
- Wij zijn niet uw advocatenkantoor: geschillen, contracten en juridische adviezen blijven bij de raadsman
- Wij nemen geen managementbeslissingen — de DPO adviseert en controleert; de verwerkingsverantwoordelijke beslist
- Wij vervangen uw AMLCO niet: antiwitwascompliance is een aparte aangewezen rol
- Geen vertegenwoordiging in procedures voor de autoriteit buiten de wettelijke DPO-rol
De DPO werkt ín uw bewijs, niet ernaast
De gegevensbeschermingswerkruimte van Sceau is het werkoppervlak van de DPO: het verwerkingsregister, bewaarschema's, verzoekklokken en inbreuktermijnen leven naast de AML-dossiers die ze beschrijven. Advies landt als registervermeldingen, niet als e-mailbijlagen — bij inspectie is de gegevensbeschermingshouding even bewijsbaar als de AML-houding.
Hoe het loopt
1 · Nulmeting
Een gestructureerde intake brengt uw verwerkingen, documentatie en hiaten in kaart — doorgaans twee weken tot een getekende aanwijzing en een ingediende registratie.
2 · Vast ritme
Maandelijkse review van verzoeken, incidenten en registerwijzigingen; kwartaalaudit op dossier; onmiddellijke beschikbaarheid bij inbreuken.
3 · De jaarafsluiting
Een jaarlijks gegevensbeschermingsrapport dat uw bestuur tekent, uw verzekeraar waardeert en uw toezichthouder herkent.
De eerlijke grens
DPO als dienst is een wettelijke functie geleverd onder arts. 37–39 AVG, geen juridisch advies onder beroepsgeheim. Waar een zaak een advocaat vergt, zeggen we dat en dragen we netjes over.
De verwerkingsverantwoordelijke blijft verantwoordelijk: de beslissingen over verwerking blijven bij uw kantoor. Wat wij garanderen, is dat die beslissingen geïnformeerd, gedocumenteerd en verdedigbaar zijn.
Primaire bronnen
Praat met ons over het DPO-mandaat
Boek een demo van 30 minuten: we onboarden live een testklant, triggeren een screeninghit en exporteren uw eerste inspectiedossier — uw beroep, uw land, uw toezichthouder.
Boek een demo