De Functionaris Gegevensbescherming

De privacy regels worden strenger en scherper. Organisaties worden gedwongen om maatregelen te treffen die ervoor zorgen dat persoonsgegevens beschermd en beveiligd zijn. Bijvoorbeeld door het aanstellen van een Functionaris Gegevensbescherming. Maar wat doet hij en wanneer heb je hem nodig?

Door: Mirjam Terpstra en Mathijs Hummel

Wat is een Functionaris Gegevensbescherming?

Een Functionaris Gegevensbescherming (FG) fungeert als tussenpersoon tussen de verschillende belanghebbenden: de Autoriteit Persoonsgegevens (AP) als toezichthouder, de organisatie die persoonsgegevens verwerkt (Verwerkingsverantwoordelijke) en degene waarvan persoonsgegevens worden verwerkt (Betrokkene).

De FG wordt gezien als een sleutelfiguur voor organisaties om te voldoen aan de geldende wetgeving op het gebied van privacy. De FG moet dan ook door de organisatie worden betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens. Op die manier kan de wetgeving op het gebied van privacy zo goed mogelijk nageleefd worden. Naast de term FG wordt ook wel de term Data Protection Officer (DPO) gebruikt, afkomstig uit de Engelse tekst van de Algemene Verordening Gegevensbescherming.

De Functionaris Gegevensbescherming is voor organisaties de sleutelfiguur in het voldoen aan de privacy wetgeving.

Wanneer stel ik een Functionaris Gegevensbescherming aan?

Om te voldoen aan de nieuwe Europese wetgeving zijn er een aantal situaties waarin het aanstellen van een FG verplicht is. Dit is het geval wanneer:

  • De verwerking wordt gedaan door een overheidsinstantie of overheidsorgaan.
    Een gemeente of provincie is een duidelijk voorbeeld van een overheidsorgaan dat verplicht een FG aan zal moeten stellen.
  • Grote hoeveelheden persoonsgegevens worden verwerkt op basis van regelmatige en stelselmatige observatie, als kerntaak van de organisatie.
    Een voorbeeld van een organisatie die een FG aan moet stellen op basis van het verwerken van veel persoonsgegevens als kerntaak is een beveiligingsbedrijf dat een aantal winkelcentra en openbare gelegenheden bewaakt. Om dit te kunnen doen worden veel persoonsgegevens verwerkt. Een ander voorbeeld is een marketingbedrijf dat persoonsgegevens verwerkt om gepersonaliseerde reclame te kunnen bieden aan mensen (profilering).
  • De organisatie hoofdzakelijk grootschalige verwerkingen uitvoert van bijzondere persoonsgegevens zoals ras, gezondheid, politieke voorkeur.
    Een voorbeeld van een organisatie die veel gevoelige gegevens verwerkt is een ziekenhuis.

Ook wanneer een FG niet verplicht is, kan het verstandig zijn deze wel aan te stellen om de organisatie te adviseren en te helpen voldoen aan de geldende privacywetgeving. Wanneer iemand vrijwillig wordt ingeschakeld als FG dan gelden hiervoor dezelfde regels in de uitvoering als een verplichte FG.

Kerntaken van de Functionaris Gegevensbescherming

De kerntaken van de FG komen uit artikel 39 van de Algemene Verordening Gegevensbescherming. De kerntaken zijn:

  • Informeren en adviseren van medewerkers van de organisatie over hun verplichtingen
  • Toezien op de naleving van de AVG
  • Advies geven met betrekking tot privacy impact assessments (PIA) en toezien op de uitvoering
  • Samenwerken met de toezichthoudende autoriteit (Autoriteit Persoonsgegevens)
  • Optreden als contactpunt voor de toezichthouder, organisatie en betrokkenen

Positie in de organisatie

De FG dient een onafhankelijke positie te krijgen binnen de organisatie. Een FG mag geen instructies ontvangen over de behandeling van een vraagstuk, bijvoorbeeld over het gewenste resultaat. Uiteindelijk blijft de organisatie zelf verantwoordelijk voor het opvolgen van de adviezen van de FG. Om de autonomie en onafhankelijkheid van de FG te waarborgen geldt voor een FG eenzelfde ontslagbescherming als voor een OR-lid. 

De Functionaris Gegevensbescherming heeft een onafhankelijke positie binnen de organisatie.

Alternatieve invulling van de FG 

Het is niet vereist dat een FG wordt aangesteld binnen de organisatie. Het is ook mogelijk om samen met andere partijen gezamenlijk een FG aan te stellen die werkzaamheden uitvoert voor al deze partijen.
Daarnaast is het ook mogelijk om een organisatie aan te wijzen met verschillende disciplines om de taken van de FG uit te voeren.

Het belangrijkste is dat de contactgegevens van de FG duidelijk zijn en de FG makkelijk te bereiken is door partijen.

Leergang Functionaris Gegevensbescherming

Samen met IT Academy Noord-Nederland organiseren wij de Leergang Functionaris Gegevensbescherming. De leergang biedt een praktische basis voor het aanpakken van privacyvraagstukken. Meld je aan!

Contactformulier

 

Meer artikelen

Bekijk al het nieuws