Functionaris gegevensbescherming (FG)

Op basis van de Algemene verordening gegevensbescherming (AVG) kunnen organisaties verplicht zijn een functionaris voor de gegevensbescherming (FG) aan te stellen. Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG. Op grond van artikel 37 van de AVG is een FG in drie situaties verplicht. (Bron: https://autoriteitpersoonsgegevens.nl)

Overheden en publieke organisaties

Ten eerste zijn overheidsinstanties en publieke organisaties altijd verplicht om een FG aan te stellen, ongeacht het type gegevens dat ze verwerken. Het kan gaan om de rijksoverheid, gemeenten en provincies, maar ook om bijvoorbeeld zorg- en onderwijsinstellingen. Voor rechtbanken geldt de verplichte aanstelling van een FG niet.

Observatie

Ten tweede geldt de verplichting om een FG aan te stellen voor organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen. Het kan hierbij gaan om bijvoorbeeld profilering van mensen voor het maken van risico-inschattingen, cameratoezicht en monitoring van iemands gezondheid via wearables.

Relevant hierbij zijn onder meer het aantal mensen dat een organisatie volgt, de hoeveelheid gegevens die deze organisatie verwerkt en hoe lang de organisatie mensen volgt.

Bijzondere persoonsgegevens

Ten derde zijn organisaties verplicht een FG te benoemen als ze overwegend bijzondere persoonsgegevens verwerken en dit een kernactiviteit is. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden.

Andere situaties

EU-lidstaten kunnen ook andere situaties benoemen waarin een FG verplicht is. Het is nog niet bekend of dit in Nederland gaat gebeuren. (Branche)organisaties hebben de mogelijkheid zelf een interne toezichthouder op de verwerking van persoonsgegevens aan te stellen.

Taken

De werkzaamheden van een FG kunnen onder meer zijn:

  • toezicht houden;
  • inventarisaties van gegevensverwerkingen maken;
  • meldingen van gegevensverwerkingen bijhouden;
  • vragen en klachten van mensen binnen en buiten de organisatie afhandelen;
  • interne regelingen ontwikkelen;
  • adviseren over technologie en beveiliging (privacy by design);
  • input leveren bij het opstellen of aanpassen van een gedragscode.

Eisen aan FG

De wet stelt een aantal eisen aan FG’s:

  • Een FG moet een natuurlijk persoon zijn. Een ondernemingsraad of commissie komt dus niet in aanmerking.
  • Een FG moet voldoende kennis hebben van de organisatie en de privacywetgeving.
  • Een FG moet betrouwbaar zijn. Dit uit zich onder meer in een geheimhoudingsplicht.

Wat moet een FG weten en kunnen?

Van een FG wordt verwacht dat hij of zij bovengemiddelde vakkennis heeft van privacywetgeving en van de praktijk van gegevensbescherming. Het concrete kennisniveau dat een FG moet hebben, is afhankelijk van de betreffende organisatie.

De vereiste expertise en vaardigheden voor een FG omvatten in ieder geval:

  • kennis van nationale en Europese privacywet- en regelgeving over gegevensbescherming;
  • begrip van de gegevensverwerkingen die de organisatie uitvoert;
  • begrip van IT en informatiebeveiliging;
  • kennis van de organisatie en de sector waarin die actief is;
  • vaardigheden om binnen de organisatie een cultuur van gegevensbescherming te ontwikkelen.

Bevoegdheden FG

  • De FG moet in onafhankelijkheid zijn werkzaamheden kunnen verrichten binnen een organisatie.
  • Een FG heeft geen formele sanctiebevoegdheden. Maar de organisatie is wel wettelijk verplicht om de FG controlebevoegdheden te geven. Zo moet een FG bevoegd zijn om ruimtes te betreden, zaken te onderzoeken en inlichtingen en inzage te vragen.
  • Een FG heeft dezelfde ontslagbescherming als leden van een ondernemingsraad. Dit betekent dat hij pas ontslagen kan worden na toestemming van de kantonrechter.

Toezicht door Autoriteit Persoonsgegevens

Heeft een organisatie een FG, dan behoudt de Autoriteit Persoonsgegevens als nationale toezichthouder alle bevoegdheden. Maar de Autoriteit Persoonsgegevens stelt zich terughoudend op bij organisaties met een FG. De AP zal dan altijd eerst in contact treden met de FG.

Aanstellen functionaris voor de gegevensbescherming

Let op: een verantwoordelijke (degene die het doel van en de middelen voor de gegevensverwerking vaststelt) kan niet tevens FG zijn in zijn eigen organisatie.

Een (branche)organisatie kan een of meerdere FG’s aanstellen. De organisatie moet elke FG vervolgens aanmelden bij de Autoriteit Persoonsgegevens. De AP publiceert aanmeldingen van FG’s in een register. Pas dan kan de FG als zodanig aan de slag.

Meer informatie

De specialisten van VTM geven u graag meer uitleg over het aanstellen van een functionaris voor de gegevensbescherming. Maak een afspraak voor een oriënterend gesprek. Dat kan via 0174 52 73 20  of  info@vtmgroep.nl

 

Terug naar overzicht

Volgende

Verantwoordingsplicht