Het aanstellen van een functionaris voor gegevensbescherming

Door de AVG is het voor veel organisatie verplicht om een interne toezichthouder aan te wijzen: een functionaris voor gegevensbescherming (FG) of Data Protection Officer (DPO). Dit mag een interne of externe persoon zijn, zolang de persoon de juiste kennis heeft. In dit artikel staat of uw organisatie een FG moet hebben, wie deze rol mag vervullen en hoe u deze persoon aanstelt. (bijgewerkt 2024)

Waarom een FG of DPO

De AVG stelt eisen aan organisaties. Bijna elk bedrijf heeft wel persoonsgegevens, en heeft dus te maken met nieuwe regels zoals het bijhouden van een register van verwerkingsactiviteiten, het uitvoeren van impact assessments en het melden van datalekken. Voor de overheid is er echter ook veel werk: er is een officiële toezichthouder, de autoriteit persoonsgegevens (AP). Deze toezichthouder heeft echter niet de mankracht om elk bedrijf voortdurend te controleren. Daarom is in de wet het idee van een interne toezichthouder opgenomen. Elke organisatie wijst zelf iemand aan, die toezicht houdt op de naleving binnen de organisatie. Veel van de privacyvragen binnen een organisatie kunnen door deze persoon worden afgehandeld. Als de Autoriteit Persoonsgegevens toch zelf in contact wil treden met een bedrijf, dan is de FG het aanspreekpunt: de Autoriteit Persoonsgegevens zal deze persoon vragen om te rapporteren over de naleving in het bedrijf. De Engelse term voor FG is DPO: de data protection officer. Dit is dezelfde rol maar dan de Engelse benaming.

Voor mei 2018 bestond de FG-rol ook al (zie hier een artikel over de rol van de FG onder de vorige wet WBP). De rol was niet verplicht en kwam vooral voor bij overheden en organisaties met veel gevoelige informatie zoals ziekenhuizen. Sinds mei 2018 wordt de rol voor heel veel organisaties verplicht. Het is meestal een part-time rol: mensen doen de rol naast andere werkzaamheden of zijn FG voor meerdere bedrijven.

Wanneer is het verplicht om een FG te hebben

Organisaties zijn verplicht om een FG/DPO aan te stellen als zij voldoen aan één van de volgende drie voorwaarden:

1. De organisatie is een overheidsinstantie of overheidsorgaan
2. De organisatie is hoofdzakelijk belast met ‘gevoelige’ verwerkingen. Gevoelig betekent hier verwerkingen ‘die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen’. Denk aan grootschalig toezicht, profiling, etc.
3. De organisatie is hoofdzakelijk belast met verwerkingen die de grootschalige verwerking van bijzondere categorieën van persoonsgegevens en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten behelzen.

Het begrip bijzondere categorieën van persoonsgegevens uit voorwaarde drie is gelukkig duidelijk gedefinieerd in de AVG. Het gaat om de volgende lijst:

• gegevens waaruit ras of etnische afkomst blijkt,
• politieke opvattingen,
• religieuze of levensbeschouwelijke overtuigingen,
• het lidmaatschap van een vakbond,
• genetische gegevens,
• biometrische gegevens met het oog op de unieke identificatie van een persoon,
• gegevens over gezondheid,
• gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid

Als een FG niet verplicht is, dan mogen organisaties ook vrijwillig een FG aanstellen. Dit kan bijvoorbeeld handig zijn als bedrijven niet kunnen uitsluiten dat zij in de toekomst aan de eisen gaan voldoen, of als zij het belangrijk vinden om extra aandacht aan privacy te besteden.

Eisen aan de FG

De functie van FG moet worden vervuld door een deskundige persoon. De FG dient deskundig te zijn op het gebied van nationale en Europese wetgeving en de praktijk rondom de bescherming van persoonsgegevens, waaronder een diepgaand begrip van de Verordening en de Uitvoeringswet.  Verder dient de persoon over voldoende persoonlijke kwaliteiten te bezitten om zijn taken op grond van de Verordening goed te kunnen vervullen zoals integriteit en professionele ethiek.

Een FG mag een interne persoon zijn . Ook mag een externe persoon aangesteld worden. Het moet wel een persoon zijn en geen bedrijf. U mag dus wel iemand van ICT Institute aanstellen, maar niet ICT Institute zelf.

De taken van de FG

In de verordening zelf en in de officiële handleiding van de autoriteit persoonsgegevens staan vijf taken benoemt:

1. De FG informeert en adviseert de organisatie over de verplichtingen uit de AVG
2. De FG ziet toe op de naleving van de Verordening en het interne gegevensbeschermingsbeleid
3. De FG moet op verzoek van de organisatie adviseren over de gegevensbeschermingseffectbeoordeling en toezien op de uitvoering daarvan
4. De FG moet samenwerken met en optreden als contactpunt voor de Autoriteit Persoonsgegevens. Dit kan bijvoorbeeld bij het melden van datalekken en ook bij een voorafgaande raadpleging die uit de gegevensbeschermingseffectbeoordeling kan voortkomen
5. De FG rapporteert over de uitvoering van zijn taken. De FG brengt altijd rechtstreeks verslag uit aan de CEO (de hoogste leidinggevende binnen de organisatie). Om aan te tonen dat deze taak is uitgevoerd, is het belangrijk dat hiervan een verslag is. Dit hoeft niet openbaar te zijn.

De FG heeft alleen deze taken en is niet verantwoordelijk voor de totale beveiliging of de volledige naleving. Dit is nog steeds de verantwoordelijkheid van de directie. De FG kan deze taken alleen goed doen als iedereen in de organisatie de FG op het juiste moment raadpleegt. Binnen het bedrijf zal duidelijk gecommuniceerd moeten worden wie de FG is. Het kan handig zijn als de FG zelf ook actief communiceert over privacy. Vervolgens kan iedereen vragen stellen aan de FG, bijvoorbeeld bij ontwerpbeslissingen of bij privacy-incidenten. De FG observeert zelf ook actief en kan mensen aanspreken of herinneren aan AVG-verplichtingen.

De taken van de organisatie

Elke organisatie die een FG aanstelt, is verplicht om de FG goed te ondersteunen. De volgende eisen zijn genoemd in de handleiding AVG:

1. De FG wordt door iedereen en met name de directie tijdig en behoorlijk betrokken bij privacygevoelige besluiten. Onder andere bij datalekken moet de FG direct worden betrokken. Ook moet de FG regelmatig worden uitgenodigd bij managementoverleg en moet er passende waarde gegeven worden aan de adviezen van de FG.
2. De FG wordt ondersteund in de uitvoering van de taken, met tijd, toegang, faciliteiten en financiële middelen
3. De FG mag onafhankelijk de rol vervullen. De directie mag geen instructies geven die tegen de taken van de FG ingaan (zoals opdracht tot goedkeuren)
4. Betrokkenen kunnen direct contact opnemen met de FG. Een manier om dit mogelijk te maken is om een email-adres aan te maken
5. De FG is gehouden tot geheimhouding, bijvoorbeeld rond klachten en verzoeken van betrokkenen
6. De FG krijgt geen conflicterende taken of belangen

Stappenplan voor aanstellen FG

Het aanstellen gaat via de volgende stappen:

1. Kies de juiste persoon. Geen eventueel aanvullende training aan de FG-kandidaat en de rest van de organisatie
2. Leg de benoeming officieel vast in een contract (externe partij) of een memo (interne partij).
3. Geef de benoeming door aan de Autoriteit Persoonsgegevens. Dit is wettelijk verplicht en kan via https://autoriteitpersoonsgegevens.nl/nl/aanmeldenfg
4. Maak een email-adres aan en publiceer op de website, of zorg dat de FG op een andere manier bereikbaar is voor betrokkenen
5. Communiceer de benoeming van de FG aan iedereen in de organisatie.
6. Plan het verplichte compliance-overleg tussen FG en CEO

Dit artikel is onderdeel van de serie over AVG en privacy. Zie ook de artikelen AVG in 10 stappen,template voor register van verwerkingsactiviteiten, template verwerkersovereenkomst, en procedure voor meldplicht datalekken. Voor meer artikelen over privacy, kijk dan op onze pagina met alle privacy-artikelen.

Bron afbeelding: Pixabay 3dman_eu