AVG-serie: Functionaris voor de Gegevensbescherming

In de Algemene Verordening Gegevensbescherming (‘AVG’) die vanaf 25 mei 2018 van toepassing zal zijn, zijn regels opgenomen op het gebied van gegevensbescherming. De functionaris voor de gegevensbescherming (‘FG’) kan binnen veel organisaties een sleutelrol gaan vervullen als het gaat om de naleving van de AVG. Hieronder vindt u meer informatie over de aanwijzing, positie en taken van de FG en enkele praktische tips voor uw organisatie.

Huidige wetgeving

De FG is geen nieuw begrip. In de Wet bescherming persoonsgegevens (‘Wbp’) komt de FG namelijk al voor en verschillende organisaties in Nederland hebben momenteel al een FG in dienst.

Een belangrijk verschil met de Wbp is dat in de AVG verschillende categorieën van organisaties verplicht worden gesteld om een FG aan te stellen. Op grond van de Wbp geschiedt aanstelling van een FG enkel op vrijwillige basis. Daarnaast zijn de bepalingen rondom de taken en bevoegdheden van de FG onder de AVG flink uitgebreid.

Aanwijzing

Op grond van de AVG zijn organisaties verplicht om een FG aan te stellen:

  • wanneer de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan;

In de AVG is geen definitie opgenomen voor het begrip overheidsinstantie of overheidsorgaan. Of sprake is van een dergelijke instantie moet daarom op grond van nationale wet- en regelgeving worden bepaald. Het kan bijvoorbeeld gaan om de rijksoverheid, provincies, gemeenten, maar ook het Rijksinstituut voor de Volksgezondheid en Milieu (RIVM) en het Sociaal en Cultureel Planbureau.

  • wanneer de verantwoordelijke of de verwerker hoofdzakelijk verwerkingen uitvoert die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen;

Onder deze categorie vallen onder andere organisaties die zich bezighouden met profilering en het volgen van personen op internet, bijvoorbeeld voor het tonen van advertenties op basis van internetgebruik. Hierbij is relevant hoeveel personen er worden gevolgd, hoelang die personen worden gevolgd en hoeveel gegevens de organisatie van deze personen verwerkt.

  • wanneer de verantwoordelijke of de verwerker hoofdzakelijk grootschalige verwerkingen uitvoert van bijzondere persoonsgegevens of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten.

Zorginstellingen vallen bijvoorbeeld onder deze categorie omdat zij veelal op grote schaal bijzondere persoonsgegevens – namelijk medische gegevens – verwerken. Sommige zorginstellingen zijn op grond van het ‘Besluit elektronische gegevensverwerking door zorgaanbieders’ overigens al sinds 1 juli 2017 verplicht een FG aan te stellen.

Deskundigheid

De FG moet worden aangewezen op grond van zijn professionele kwaliteiten en zijn deskundigheid op het gebied van de wetgeving en praktijk op het gebied van gegevensbescherming. Het benodigde kennisniveau zal van organisatie tot organisatie verschillen en hangt af van de gevoeligheid, complexiteit en hoeveelheid persoonsgegevens die de desbetreffende organisatie verwerkt. Ook kennis van de bedrijfstak en betreffende organisatie zijn aan te raden.

Taken

De FG vervult de volgende taken:

  • de organisatie informeren en adviseren over de verplichtingen op grond van de AVG;
  • toezien op de naleving van de AVG en van het beleid van de organisatie met betrekking tot de bescherming van persoonsgegevens;
  • toewijzen van verantwoordelijkheden binnen de organisatie en bewustmaken en opleiden van het betrokken personeel;
  • desgevraagd advies verstrekken over een eventuele DPIA en toezien op de uitvoering daarvan;
  • samenwerken met en optreden als contactpunt voor de Autoriteit Persoonsgegevens (Nederlandse toezichthouder).

Positie

Het is belangrijk dat de FG in een vroeg stadium wordt betrokken bij aangelegenheden die te maken hebben met de bescherming van persoonsgegevens binnen de organisatie. De AVG stelt dit zelfs expliciet verplicht als het gaat om de uitvoering van zogenoemde data protection impact assessments (‘DPIA’). Ook moet de FG onmiddellijk worden geraadpleegd als zich een datalek heeft voorgedaan.

Daarnaast is het van belang dat de FG voldoende middelen tot zijn beschikking heeft om zijn taken te vervullen. Denk hierbij aan steun qua financiële middelen, tijd, faciliteiten en personeel.

De FG moet zijn taken binnen de organisatie ook met voldoende autonomie kunnen uitoefenen. Dit betekent dat hij geen instructies mag ontvangen over het te bereiken resultaat of het innemen van een bepaald standpunt. Hij mag ook niet worden ontslagen of gestraft voor het uitoefenen van zijn taken.

Tot slot kan de FG zowel een personeelslid van de organisatie zijn of zijn taken op basis van een servicecontract verrichten. Ongeacht of de FG in dienst is bij de organisatie, mogen zijn taken in elk geval niet tot belangenconflicten leiden.

Tips & tricks

Nu duidelijk is welke positie de FG binnen een organisatie inneemt en wat zijn taken en bevoegdheden zijn, volgen hieronder nog enkele praktische tips & tricks. Een deel daarvan is ontleend aan de Guidelines on Data Protection Officers die zijn gepubliceerd door de Artikel 29-Werkgroep (Europese toezichthouders)

1. Functieprofiel

Wanneer u nog geen FG heeft aangesteld, doet u er verstandig aan om eerst een goed beeld te vormen van de gevoeligheid, complexiteit en hoeveelheid persoonsgegevens die binnen uw organisatie worden verwerkt. Op deze wijze weet u namelijk welk kennisniveau is vereist en kunt u beter beslissen of iemand binnen uw eigen organisatie deze rol op zich kan nemen of dat u iemand van buitenaf wilt gaan aantrekken. Afhankelijk van de grootte en structuur van uw organisatie kan het zelfs nodig zijn om een FG-team (FG met personeel) aan te stellen

2. Vrijwillige aanstelling

Als u niet verplicht bent om een FG aan te stellen, kan het toch verstandig zijn om een persoon binnen uw organisatie aan te wijzen die verantwoordelijk is voor een correcte naleving van de wet- en regelgeving op het gebied van gegevensbescherming. Om te voorkomen dat uw organisatie in dat geval is gebonden aan de regels in de AVG omtrent de rol en positie van de FG, adviseren wij de persoon in kwestie geen FG te noemen, maar een andere functietitel te geven

3. Interne regels over belangenconflicten

Als de functie van FG vervult gaat worden door iemand die daarnaast ook andere werkzaamheden verricht, is het verstandig om vooraf interne regels op te stellen om eventuele belangenconflicten zoveel mogelijk te voorkomen.

4. Verwerkingsregister

De meeste organisaties zijn op grond van de AVG verplicht een zogenoemd register van verwerkingsactiviteiten bij te houden. Het bijhouden van dit register behoort niet tot de specifieke taken van de FG, maar dat neemt natuurlijk niet weg dat deze taak bij de FG kan worden neergelegd. Het aanleggen en bijhouden van dit register zal de FG kunnen helpen om toe te zien op de naleving van de AVG.

5. Voldoende middelen

Zorg ervoor dat de FG voldoende autonomie en middelen heeft om zijn taken uit te voeren. Nodig hem ook regelmatig uit om vergaderingen bij te wonen en zorg ervoor dat hij zich regelmatig kan laten bijscholen.

6. Vastlegging advies

Aan de mening van de FG dient altijd passende waarde te worden gehecht. Dit neemt echter niet weg dat de organisatie zelf verantwoordelijk blijft voor de naleving van de AVG. Bij meningsverschillen tussen de FG en organisatie kan het verstandig zijn om vast te leggen waarom het advies van de FG niet is gevolgd.

7. Contactgegevens doorgeven

Houd er tot slot rekening mee dat de contactgegevens van de FG in uw privacy statement moeten worden vermeld en aan de Autoriteit Persoonsgegevens moeten worden doorgegeven.