blog

    Tien dingen die u niet wilt, maar wel moet weten over de Privacy-verordening: Deel 3: Functionaris voor de Gegevensbescherming

    Tien dingen die u niet wilt, maar wel moet weten over de Privacy-verordening: Deel 3: Functionaris voor de Gegevensbescherming

    Organisaties krijgen tot 25 mei 2018 om de nieuwe regels van de Algemene Verordening Gegevensbescherming (AVG) te implementeren. Dat lijkt nog ver weg, maar om privacy compliant te zijn moet er wel wat gebeuren. Dit is deel 3 van onze blogreeks “Tien dingen die u niet wilt, maar wel moet weten over de komende Privacy-verordening”. 

    In deel 1 van deze blogreeks bespraken we de komende documentatieplicht met de verplichting tot het opstellen van een register van verwerkingsactiviteiten. In deel 2 hebben we het gehad over doelbinding en grondslag. In dit deel bespreken we de Functionaris voor de Gegevensbescherming, ook wel Privacy Officer genoemd.

    Verplichte Functionaris voor de Gegevensbescherming

    Op dit moment is het geen verplichting om een Functionaris voor de Gegevensbescherming (FG) aan te stellen, maar vanaf 25 mei 2018 gaat dat veranderen voor bepaalde organisaties. De volgende organisaties zullen onder de AVG een FG moeten aanstellen: 

    • overheidsinstellingen en publieke organisaties, zoals gemeenten en onderwijsinstellingen;
    • organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen, zoals het stelselmatig observeren van personen;
    • organisaties die hoofdzakelijk zijn belast met het grootschalig verwerken van bijzondere persoonsgegevens, zoals zorginstellingen.

    Lidstaten kunnen bepalen dat de verplichting voor meer organisaties geldt. Omdat de definitieve uitvoeringswet bij de AVG op moment van schrijven nog niet is gepubliceerd is het nog niet bekend of hier in Nederland aanvullingen op komen. Uiteraard kunnen organisaties er ook voor kiezen om vrijwillig een FG aan te stellen.

    Taken en positie van de FG

    Volgens de AVG dient de FG ‘naar behoren en tijdig betrokken te worden bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens’. De FG informeert en adviseert de organisatie en haar werknemers over hun verplichtingen uit de AVG en ziet erop toe dat de organisatie de AVG naleeft. Let op: de verplichting om de AVG na te leven rust uiteindelijk op de organisatie! De FG is tevens het aanspreekpunt voor de Autoriteit Persoonsgegevens (AP). De FG moet zijn taken zo onafhankelijk mogelijk kunnen uitvoeren. Om dat te waarborgen mag de organisatie de FG geen instructies geven over de uitvoering van zijn taken. Bovendien mag hij niet ontslagen of gesanctioneerd worden voor de uitvoering van zijn taken. De FG mag ook andere taken vervullen binnen de organisatie, zolang hier geen belangenconflict ontstaat met zijn taken als FG.

    De FG kan een werknemer binnen de organisatie zijn, maar het kan ook een extern persoon zijn die zijn taken verricht op basis van een overeenkomst van dienstverlening. Als uw organisatie onderdeel is van een concern, mag één FG worden aangesteld voor het hele concern. De FG zal wel goed bereikbaar moeten zijn voor iedereen binnen het concern.

    Kennis en faciliteiten

    Van een FG wordt volgens de AP verwacht dat hij een bovengemiddelde vakkennis heeft van de privacywetgeving en van de gegevensverwerkingen binnen de organisatie.Het benodigde kennisniveau kan afhankelijk zijn van onder meer de complexiteit en de omvang waarop de organisatie persoonsgegevens verwerkt. 

     De organisatie zal de FG moeten faciliteren bij de uitvoering van zijn taken. Zo zal de FG over voldoende middelen moeten beschikken om zijn taken goed uit te kunnen voeren en zijn kennis te vergroten. Dit kan bijvoorbeeld door het bieden van praktische ondersteuning en opleiding.

    Heeft u een FG nodig?

    Twijfelt u of u vanaf 25 mei 2018 verplicht bent om een FG aan te stellen of heeft u andere vragen over de huidige en komende privacyregels, neem dan contact op met Monique Hennekens.