Volg Software Zaken

De waarde van een Functionaris Gegevensbescherming

| Sieuwert van Otterloo | Contracten Security

Een goede stap voor het beter naleven van privacywetten is het benoemen van een Functionaris voor de  Gegevensbescherming (FG).  Deze persoon houdt toezicht op de naleving van privacyregels. Lees hier wat deze rol inhoudt en wat de waarde is van een FG.

Voordelen van een FG

De Wet Bescherming Persoonsgegevens (WBP) biedt bedrijven en branches de optie om een Digital Privacy Officer oftewel een Functionaris voor de Gegevensbescherming te benoemen. Dit is niet verplicht, maar biedt een aantal formele en praktische voordelen.Veel bedrijven beseffen dat ze zich meer moeten verdiepen in de privacywetgeving, bijvoorbeeld om te voldoen aan de meldplicht datalekken en ook om te zorgen dat er een bewerkersovereenkomst is met alle partijen waarmee persoonsgegevens worden gedeeld.  Het benoemen van een FG kan voor deze bedrijven een goede stap zijn, en wel om de volgende redenen:

  • Eenvoudiger melden: Organisaties zonder FG moeten elke verwerking van persoonsgegevens melden bij het CBP. Organisaties met FG kunnen het bij de FG te melden.
  • Bewustwording: De FG kan iedereen in de organisatie wijzen op het belang van privacy en ook uitleg geven over de regels. De FG of privacy officer is echter niet verantwoordelijk voor de naleving, dat is de directie zelf
  • Toezicht: De FG houdt toezicht door middel van controles en inspecties. Hierdoor komen eventuele problemen eerder aan het licht.
  • Afhandeling incidenten: Bij problemen kan de FG, omdat deze alle regels goed kent, ervoor zorgen dat incidenten goed worden gemeld en afgehandeld. Dit wordt vanaf 1 januari 2016 erg belangrijk omdat dan de meldplicht datalekken gaat gelden.

Het is voor bedrijven niet verplicht om een FG te hebben. Op dit moment hebben vooral overheden, grote organisaties en instellingen met heel gevoelige gegevens (denk aan ziekenhuizen) een FG. Vaak is het een parttime functie.  In de Europese wetgeving die er mogelijk volgend jaar aankomt, wordt de FG wel verplicht voor grotere bedrijven.

Eisen aan de Functionaris Gegevensbescherming

De naam Functionaris Gegevensbescherming is in Nederland beschermd omdat deze in de wet is gedefinieerd (WBP, artikel 62-64). De functienaam mag alleen gebruikt worden als iemand aan een aantal wettelijke eisen voldoet:

  • De FG moet een natuurlijk persoon zijn, geen ander bedrijf. In de meeste gevallen is het geen voltijd-functie
  • De FG moet betrouwbaar zijn en voldoende kennis hebben
  • De FG moet zelfstandig kunnen werken, zonder aanwijzingen van leidinggevenden of directie hoe hij/zij moet werken
  • De FG moet de bevoegdheden van een toezichthouder krijgen. Dit houdt onder andere in dat de FG overal naar binnen mag en inzage mag vorderen in allerlei gegevens van het bedrijf

Alle FG’s zijn aangemeld bij het College Bescherming Persoonsgegevens (CBP). Hier staat ook het register van FGs waar men voor elk bedrijf kan opzoeken wie de FG is. Dit is handig voor als men zorgen heeft of vragen hoe een bedrijf persoonsgegevens verwerkt.

Wel of geen IT-functie

In principe is de Functionaris voor de Gegevensbescherming geen IT-functie. Weliswaar is een goede IT-beveiliging onderdeel van de privacy wetgeving, maar er zijn ook veel niet-IT eisen waar een FG toezicht op houdt. Toch is het van belang dat een FG kennis heeft van IT en van een IT-beveiliging en overlegt met de CIO en IT-medewerkers over de juiste beveiliging.

Veel bedrijven hebben inmiddels een CISO (Chief Information Security Officer) die vanuit IT bezig is aan beveiliging. Deze functies kunnen elkaar goed aanvullen, als ze inderdaad ook kennis over elkaars gebied hebben en vaak overleggen. We willen er dan ook voor pleiten dat FG’s zich ook verdiepen in IT zodat het overleg tussen de FG en de CIO en CISO goed verloopt.

Meer weten

SoftwareZaken organiseert workshops en trainingen over de wet bescherming persoonsgegevens. Onze open training is een goede instap voor iedereen met interesse in het onderwerp. Voor directies die meer willen, helpen we goed beleid op te stellen voor gegevensbescherming en security, inclusief advies over de functie voor FG. ook bieden we de workshop trends in programmeertalen en technieken met IT-kennis voor niet-developers.

Wij raden FGs aan om lid te worden van het Nederlands Genootschap van Functionarissen voor de Gegevensbescherming (NGFG).

Author: Sieuwert van Otterloo
Dr. Sieuwert van Otterloo (CISA, CIPP/E) is IT-deskundige met kennis van software-kwaliteit, IT-strategie, projectmanagement, privacy, en verantwoord gebruik van AI. Hij geeft les aan de VU, doet onderzoek aan de HU en geeft advies en doet reviews bij organisaties door heel Nederland. Hij oprichter en directeur van ICT Institute.