De FG in uw organisatie
Wanneer bent u als organisatie verplicht een functionaris gegevensbescherming (FG) aan te stellen? Kunt u met meerdere organisaties 1 FG aanstellen? En als u een FG heeft aangesteld, waarvoor moet u dan zorgen zodat de FG goed kan werken? U leest het op deze pagina.
Op deze pagina
Wanneer een FG verplicht is
Op grond van artikel 37 van de AVG is het aanstellen van een FG verplicht voor:
- Overheidsinstanties en publieke organisaties. Voor deze organisaties is een FG altijd verplicht, ongeacht het type persoonsgegevens dat ze verwerken. Het kan gaan om de rijksoverheid, gemeenten en provincies, maar ook om bijvoorbeeld zorg- en onderwijsinstellingen. Voor rechtbanken geldt de verplichte aanstelling van een FG niet.
- Organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen of hun activiteiten in kaart brengen. Het kan hierbij gaan om bijvoorbeeld profilering van mensen voor het maken van risico-inschattingen, cameratoezicht, personeelsvolgsystemen en monitoring van iemands gezondheid via wearables. Relevant hierbij zijn onder meer het aantal mensen dat een organisatie volgt, de hoeveelheid gegevens die deze organisatie verwerkt en hoe lang de organisatie mensen volgt.
- Organisaties die op grote schaal bijzondere persoonsgegevens verwerken en waarvan dit een kernactiviteit is. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid, ras/etniciteit, politieke opvatting of geloofsovertuiging.
- Organisaties die strafrechtelijke persoonsgegevens verwerken.
Daarnaast kunnen EU-lidstaten extra situaties benoemen waarin een FG verplicht is. In Nederland is dit niet gebeurd. De Autoriteit Persoonsgegevens (AP) onderzoekt momenteel wel of het noodzakelijk is om het kabinet te adviseren om organisaties met specifieke verwerkingen te verplichten een FG aan te stellen, zoals dat ook in andere EU-lidstaten is gebeurd.
Is onduidelijk of u als organisatie verplicht bent een FG aan te stellen? Dan moet u goed kunnen onderbouwen waarom u ervoor heeft gekozen om dat wel of niet te doen.
Een gezamenlijke FG
Het is mogelijk om 1 FG aan te stellen voor meerdere organisaties of organisatieonderdelen. Bijvoorbeeld voor:
- een groep organisaties;
- meerdere bedrijfsonderdelen binnen een concern;
- meerdere bestuursorganen binnen een gemeente, waterschap of provincie.
De voorwaarde voor een gezamenlijke FG is dat deze persoon goed bereikbaar is vanuit elke organisatie of elk organisatieonderdeel. En daadwerkelijk in staat is om de wettelijke taken van een FG in de praktijk uit te voeren.
U moet er in deze situatie extra goed voor zorgen dat de contactgegevens van de FG breed beschikbaar zijn. Betrokkenen en toezichthouders moeten eenvoudig en direct met de FG kunnen communiceren.
Gezamenlijke FG aanmelden bij AP
Wilt u een gezamenlijke FG aanstellen, dan moet elke organisatie of elk organisatieonderdeel deze FG zelf aanmelden bij de AP. U kunt dus niet 1 aanmelding doen bij de AP voor alle organisaties of organisatieonderdelen tegelijk.
FG moet goed en onafhankelijk kunnen werken
In artikel 38 van de AVG is vastgelegd dat een FG voldoende middelen nodig heeft om taken te kunnen uitvoeren. De FG moet toegang hebben tot de persoonsgegevens en de verwerkingen van de gegevens in de organisatie. Daarnaast moet de FG het eigen kennisniveau op peil kunnen houden.
Concreet heeft de FG onder meer het volgende nodig om de functie in te vullen:
- actieve steun vanuit het management;
- voldoende tijd om de taken uit te voeren;
- voldoende praktische ondersteuning (budget, faciliteiten en personeel);
- heldere communicatie aan al het personeel over de benoeming van de FG;
- scholing.
In de AVG zijn daarnaast verschillende waarborgen opgenomen die FG’s helpen om onafhankelijk hun werk te kunnen doen.
- U mag de FG geen instructies geven hoe deze de FG-taken moet uitvoeren.
- U mag de FG niet ontslaan of een sanctie geven als gevolg van de uitoefening van FG-taken.
- Er mag geen belangenverstrengeling zijn tussen de FG-taken en de eventuele andere taken of functies van de FG. Dit betekent dat de FG binnen uw organisatie niet ook een functie mag hebben waarin deze het doel en de middelen van een gegevensverwerking bepaalt. Zoals bij een managementpositie als hoofd financiën, strategie, marketing, IT, HRM of als CISO.
- De FG moet zonder tussenkomst van anderen in uw organisatie toegang hebben tot de hoogste bestuurders (de verwerkingsverantwoordelijke in de zin van de wet) om adviezen te kunnen geven.
Bereikbaarheid van de FG
Het moet voor mensen makkelijk zijn om contact op te nemen met de FG zonder dat daar iemand tussen zit. Uw website is daar een makkelijk middel voor, maar het mag ook op een andere manier. U bent niet verplicht om de naam van de FG te vermelden. Een telefoonnummer of e-mailadres waarmee de FG te bereiken is, is genoeg.
Niet verplicht, toch een FG
U kunt als organisatie ook een FG aanstellen als dit niet verplicht is. Het kan zelfs heel nuttig zijn om iemand aan te nemen of in te huren die gespecialiseerd is in de bescherming van persoonsgegevens. Vrijwillig een FG aanstellen is vooral aan te raden als u een bedrijf bent met overheidstaken, zoals een ov-bedrijf, energiebedrijf of woningcorporatie.
Voor een niet-verplichte FG gelden dezelfde regels als voor de verplichte FG zodra u deze medewerker aanduidt als 'functionaris gegevensbescherming'. Onder meer als het gaat om de professionaliteit en het takenpakket van de FG (zie hiervoor artikel 37, artikel 38 en artikel 39 van de AVG). U moet een vrijwillig aangestelde FG ook aanmelden bij de AP.
Let op: Er kan verwarring ontstaat wanneer een vrijwillig aangestelde medewerker zich FG noemt, terwijl u niet van plan bent aan deze medewerker dezelfde eisen te stellen. U kunt deze persoon dan bijvoorbeeld beter 'privacy officer' noemen.
Bent u niet verplicht om een FG aan te wijzen? Maar wilt u wel advies over gegevensbescherming? Dan kunt u in plaats van een FG ook een werknemer in dienst nemen of een adviseur inhuren die zich met de bescherming van persoonsgegevens bezighoudt.
Heeft deze persoon een andere functienaam, positie en takenpakket dan een FG? Dan gelden de wettelijke regels voor de FG niet. Het is dan wel belangrijk dat u duidelijk maakt, zowel binnen als buiten uw organisatie, dat deze persoon geen FG in de zin van de wet is.