Taken en verantwoordelijkheden van de FG
Een FG heeft bovengemiddelde vakkennis en vaardigheden op het gebied van privacywetgeving en de praktijk van gegevensbescherming.
Deze omvatten in ieder geval:
- kennis van nationale en Europese wet- en regelgeving voor gegevensbescherming;
- kennis van de gegevensverwerkingen die de organisatie uitvoert;
- kennis van IT en informatiebeveiliging;
- kennis van de organisatie en de sector waarin die actief is;
- vaardigheden om binnen de organisatie een cultuur van gegevensbescherming te ontwikkelen.
Welk concreet kennisniveau een FG in uw organisatie moet hebben, is afhankelijk van uw gegevensverwerkingen. En welk niveau van bescherming van persoonsgegevens deze verwerkingen vereisen.
Een FG heeft bijvoorbeeld meer expertise (en ondersteuning) nodig als u grote hoeveelheden gevoelige gegevens verwerkt. Zoals biometrische gegevens of gezondheidsgegevens.
Intern toezicht houden
Een belangrijke taak van de FG is intern toezicht houden op het naleven van de privacywetgeving. Om dit te kunnen doen, kan uw FG:
- informatie verzamelen over gegevensverwerkingen binnen uw organisatie;
- deze verwerkingen analyseren en beoordelen of ze aan de wet voldoen;
- u informatie, adviezen en aanbevelingen geven.
Let op: De naleving van de privacywetgeving is de verantwoordelijkheid van de verwerkingsverantwoordelijke of de verwerker in uw organisatie. De FG is niet persoonlijk aansprakelijk als er binnen uw organisatie een overtreding van de privacywetgeving is.
Overzicht gegevensverwerkingen: geen taak van de FG
U bent er als organisatie zelf verantwoordelijk voor om overzicht te houden op uw gegevensverwerkingen. En die op te nemen in uw verwerkingsregister. Dit is niet de verantwoordelijkheid van de FG. De FG houdt hier wel toezicht op. In de praktijk houden FG’s wel vaak een lijst bij van de gegevensverwerkingen. Vooral bij risicovolle verwerkingen.
De rol van de FG bij DPIA’s
Als organisatie heeft u de taak om een data protection assessment (DPIA) uit te voeren bij bepaalde gegevensverwerkingen met een hoog privacyrisico. U bent verplicht om de FG om advies te vragen bij een DPIA.
Vraag de FG dan om advies over:
- de afweging om wel of niet een DPIA uit te voeren;
- de onderzoeksmethode die geschikt is voor de DPIA;
- de vraag of u de DPIA zelf uitvoert of hiervoor een gespecialiseerd bureau inschakelt;
- de maatregelen die nodig zijn om de risico’s voor betrokkenen te beperken;
- de vraag of de uitkomsten van de DPIA in overeenstemming zijn met de wet.
U moet in het DPIA-rapport opnemen wat het advies van de FG is en wat u daarmee heeft gedaan.
In de AVG vindt u meer informatie in artikel 37, 38, 39.