Functionaris gegevensbescherming (FG)
Organisaties zijn in bepaalde situaties verplicht een functionaris gegevensbescherming (FG) aan te stellen. Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de Algemene verordening gegevensbescherming (AVG).
FG aanmelden
Organisaties moeten hun FG aanmelden bij de AP. Aanmelden kan via het aanmeld- en wijzigingsformulier FG. Let op: FG-aanmeldingen die niet met dit webformulier zijn gedaan, zijn met ingang van de AVG per 25 mei 2018 vervallen. U moet uw FG in zo'n geval opnieuw aanmelden. Dit komt omdat de AVG andere eisen stelt dan de vorige wet.
Voor het aanmelden van FG's hebben wij een privacyverklaring opgesteld. Zodat u kunt lezen hoe wij omgaan met de persoonsgegevens van FG's.
Uitgangspunten positionering FG
De wet verbindt duidelijke eisen aan de positionering van een FG. Zo is het essentieel dat de FG onafhankelijk kan toezien op de naleving van de AVG in de betreffende organisatie. Naast de wettelijke bepalingen heeft de AP ook concrete uitgangspunten opgesteld over onder meer de informatiepositie van de FG, de middelen die de FG nodig heeft en de toegang van de FG tot het bestuur van de organisatie.
Guidelines FG
De Europese privacytoezichthouders hebben in april 2017 de Guidelines on Data Protection Officers gepubliceerd die meer uitleg geven over de FG. Er is ook een officiële Nederlandse vertaling van de guidelines FG beschikbaar.
Voorlichting door de AP
De AP heeft speciale FG-contactkanalen waar u als aangemelde FG uw vraag over de privacyregels kunt stellen.
Bekijk binnen het onderwerp Functionaris gegevensbescherming (FG)
Nieuws
-
Nieuwsbericht / 21 april 2022Save the date: Dag van de FG op 12 oktober 2022
-
Nieuwsbericht / 24 juni 2021AP publiceert uitgangspunten voor inrichten sterk intern toezicht
-
Nieuwsbericht / 6 mei 2021AP verzwaart toezicht op gemeente
Alle antwoorden op mijn vragenVragen over voorlichting door de AP
-
Kan ik bij de AP checken of een organisatie een FG heeft?
Nee, deze informatie kunt u niet bij ons opvragen.
Wanneer een organisatie een FG heeft aangesteld, is de organisatie verplicht om deze gegevens zelf bekend te maken.
Vaak vindt u die informatie op de website van de organisatie. Bijvoorbeeld onder ‘privacy’.
-
Waarom geeft de AP geen uitsluitsel wanneer ik als FG een twijfelgeval voorleg?
De Autoriteit Persoonsgegevens denkt graag mee met dilemma’s waar u als FG tegenaan loopt. Maar het past niet bij onze rol als toezichthouder om uw advies juridisch te beoordelen. Dit omdat kennis van de specifieke context noodzakelijk is en omdat we geen precedent willen scheppen.
Kennis van specifieke context
Een goed advies vergt een beoordeling van alle feiten, omstandigheden en belangen. Dat is ook de reden waarom de AVG de functie van FG in het leven heeft geroepen. U bent degene die bij uitstek inzicht heeft in de specifieke context van uw vraagstuk. Daarom kunnen wij niet op uw stoel gaan zitten.
Geen precedent scheppen
Daarnaast schept een concreet antwoord op een specifieke casus een precedent. En wij willen de bewegingsruimte van organisaties en FG’s bij het toepassen van de AVG juist niet inperken. De normen uit de AVG zijn niet voor niets ‘open’.
Kortom: twijfelt u als FG over hoe u bepaalde regels uit de AVG in uw situatie moet toepassen? En komt u er echt niet uit? Dan kunt u wel contact opnemen om te sparren maar wij geven geen reactie die u als goedkeuring kunt uitleggen.
Wel kunnen we bijvoorbeeld met u meedenken over mogelijke stappen die u de verwerkingsverantwoordelijke kunt adviseren zoals het indienen van een Voorafgaande raadpleging.
Alle antwoorden op mijn vragenVragen over de FG
-
Kan een concern met verschillende onderdelen één FG aanstellen?
Ja, meerdere bedrijfsonderdelen kunnen samen één FG aanstellen. Ook een groep organisaties kan een gezamenlijke FG benoemen. De voorwaarde voor een gezamenlijke FG is dat deze persoon goed bereikbaar is vanuit elke afdeling en vestiging en daadwerkelijk in staat is om de wettelijke taken van een FG in de praktijk uit te voeren.
Goede bereikbaarheid
Een goede bereikbaarheid van de gezamenlijke FG betekent dat de contactgegevens van de FG breed beschikbaar zijn. Betrokkenen en toezichthouders moeten eenvoudig met de FG kunnen communiceren.
De mogelijkheid om direct contact op te nemen met de FG (via een telefoonnummer of een ander veilig communicatiekanaal) is daarbij essentieel.
-
Wat moet een FG weten en kunnen?
Van een FG wordt verwacht dat hij of zij bovengemiddelde vakkennis heeft van privacywetgeving en van de praktijk van gegevensbescherming.
De vereiste expertise en vaardigheden omvatten in ieder geval:
- kennis van nationale en Europese privacywet- en regelgeving over gegevensbescherming;
- begrip van de gegevensverwerkingen die de organisatie uitvoert;
- begrip van IT en informatiebeveiliging;
- kennis van de organisatie en de sector waarin die actief is;
- vaardigheden om binnen de organisatie een cultuur van gegevensbescherming te ontwikkelen.
Concreet kennisniveau
Het concrete kennisniveau dat een FG moet hebben, is afhankelijk van de betreffende organisatie. Welke gegevensverwerkingen voert de organisatie uit? En welk niveau van bescherming van persoonsgegevens vereist dit?
Een FG heeft bijvoorbeeld meer expertise (en ondersteuning) nodig als de organisatie grote hoeveelheden gevoelige gegevens verwerkt.
-
Hoe kan een FG intern toezicht houden op het naleven van de privacywet?
Een belangrijke taak van de FG is intern toezicht houden op het naleven van de AVG. Om dit te kunnen doen, kan de FG:
- informatie verzamelen over gegevensverwerkingen binnen de organisatie;
- deze verwerkingen analyseren en beoordelen of ze aan de wet voldoen;
- informatie, adviezen en aanbevelingen geven aan de organisatie.
Aansprakelijkheid
De FG is niet persoonlijk aansprakelijk als er binnen zijn organisatie een overtreding van de privacywet is.
De naleving van de privacywet is een verantwoordelijkheid van de verwerkingsverantwoordelijke of de verwerker.
-
Wat moet ik regelen zodat de FG zijn werk goed kan doen?
Volgens artikel 38 van de AVG heeft een FG voldoende middelen nodig om zijn taak te kunnen uitvoeren. En moet hij toegang hebben tot de persoonsgegevens en de verwerkingen van de gegevens in de organisatie. Daarnaast moet een FG zijn kennisniveau op peil kunnen houden.
Concreet heeft een FG onder meer het volgende nodig om de functie in te vullen:
- de actieve steun vanuit het management;
- voldoende tijd om de taken uit te voeren;
- voldoende praktische ondersteuning (budget, faciliteiten en personeel);
- heldere communicatie aan al het personeel over de benoeming van de FG;
- scholing.
-
Hoe zorg ik ervoor dat de FG onafhankelijk kan werken?
In de AVG zijn verschillende waarborgen opgenomen die de FG helpen om onafhankelijk zijn werk te kunnen doen.
Waarborgen onafhankelijke FG
- U mag de FG geen instructies geven hoe hij zijn taken als FG moet uitvoeren.
- U mag de FG niet ontslaan of een sanctie geven als gevolg van de uitoefening van zijn FG-taken.
- Er mag geen belangenverstrengeling zijn tussen de FG-taken en de eventuele andere taken of functies van de FG.
- De FG moet zonder tussenkomst van anderen in de organisatie toegang hebben tot de hoogste bestuurders (de verwerkingsverantwoordelijke in de zin van de wet) om adviezen te kunnen geven.
Belangenverstrengeling voorkomen
Om belangenverstrengeling te voorkomen, mag de FG binnen de organisatie niet ook een functie hebben waarin hij het doel en de middelen van een gegevensverwerking bepaalt.
Dit kan bijvoorbeeld zo zijn als de FG een managementpositie vervult. Zoals hoofd financiën, strategie, marketing, IT, HRM of chief information security officer (CISO).
-
Welke rol speelt de FG bij data protection impact assessments (DPIA’s)?
De organisatie, niet de FG, heeft de taak om een data protection impact assessment (DPIA) uit te voeren als dat noodzakelijk is. De organisatie is verplicht om de FG hierbij om advies te vragen.
Advies FG
Het is aan te raden om de FG advies te vragen over:
- de afweging om wel of niet een DPIA uit te voeren;
- de onderzoeksmethode die geschikt is voor de DPIA;
- de vraag of de organisatie de DPIA zelf uitvoert of hiervoor een gespecialiseerd bureau inschakelt;
- de waarborgen die nodig zijn om de risico’s voor betrokkenen te beperken;
- de vraag of de uitkomsten van de DPIA in overeenstemming zijn met de wet.
De organisatie moet in het rapport over de DPIA opnemen wat het advies van de FG is en wat daarmee is gedaan.
-
Moet de FG bijhouden welke gegevens mijn organisatie verwerkt?
U bent er als organisatie verantwoordelijk voor om overzicht te houden van de gegevensverwerkingen binnen uw organisatie. De FG heeft deze verantwoordelijkheid niet.
Maar in de praktijk houden FG’s al vaak een lijst bij van de gegevensverwerkingen. Vooral bij risicovolle verwerkingen. De FG houdt toezicht op het naleven van de plichten van de verantwoordelijke, waaronder deze registerplicht.
-
Wat valt onder de 'kernactiviteiten' van een organisatie?
Onder de kernactiviteiten van een organisatie vallen de processen die essentieel zijn om de doelen van de organisatie te bereiken. Of die tot de hoofdtaken van de organisatie horen.
Zo is de verwerking van gegevens over de gezondheid een kernactiviteit van een ziekenhuis. Maar de verwerking van persoonsgegevens die ondersteunend is aan de bedrijfsvoering, zoals voor de salarisadministratie, valt dan buiten de kernactiviteiten.
Alle antwoorden op mijn vragenVragen over het aanmelden van FG's bij de AP
-
Wat gebeurt er met het FG-nummer wanneer iemand anders de FG wordt?
Het FG-nummer blijft bij de organisatie horen.
Het nummer is de bevestiging van het aanmelden van een FG bij de Autoriteit Persoonsgegevens. Het is dus niet gekoppeld aan de persoon die FG is.
Alle antwoorden op mijn vragenVragen over het aanmeld- en wijzigingsformulier FG
-
Ik heb mijn FG ooit al een keer aangemeld, moet ik dit opnieuw doen?
Ja, als de FG niet via het AVG-webformulier is aangemeld, moet u dat opnieuw doen.
De Algemene verordening gegevensbescherming (AVG) stelt andere eisen aan het aanstellen en aanmelden van een FG dan de voormalige Wet bescherming persoonsgegevens (Wbp). Alle FG-aanmeldingen die niet via het online formulier zijn gedaan, zijn daarom per 25 mei 2018 vervallen. Sinds die datum is de AVG van kracht.
De AP heeft op grond van de AVG aanvullende informatie nodig over de FG. Bijvoorbeeld of er sprake is van een verplichte of van een vrijwillige FG. Om die complete informatie te krijgen, moeten FG’s aangemeld worden met het aanmeld- en wijzigingsformulier FG.
-
Wanneer is er sprake van een nieuwe aanmelding en wanneer van een wijziging?
Als u nog niet eerder een aanmelding heeft gedaan met het webformulier (dat sinds 3 april 2018 op de website van de AP staat) dan is er sprake van een nieuwe aanmelding.
Er is dus géén sprake van een wijziging als u uw FG eerder al had aangemeld met het oude aanmeldformulier.
-
Wanneer krijg ik een FG-nummer?
U ontvangt een FG-nummer in de bevestigingsmail die volgt op de aanmelding met het webformulier.
Als u het aanmeldformulier correct heeft ingevuld, ontvangt u binnen één werkdag een bevestiging.
Aanmeldingsformulieren die niet correct zijn ingevuld, worden handmatig gecorrigeerd. Bijvoorbeeld formulieren waarin niet zowel een e-mailadres van de verwerkingsverantwoordelijke als een e-mailadres van de FG zijn opgenomen. Of formulieren waarin het KVK-nummer ontbreekt of niet juist is ingevuld. Het kan daarom enige tijd duren voordat u een bevestigingsmail met het FG-nummer krijgt.
-
Wanneer krijg ik een bevestiging van mijn aanmelding?
Als u het aanmeldformulier correct heeft ingevuld ontvangt u binnen één werkdag* een bevestiging.
Aanmeldingsformulieren die niet correct zijn ingevuld worden handmatig gecorrigeerd. Het gaat dan bijvoorbeeld om aanmeldingsformulieren waarin niet zowel een e-mailadres van de verwerkingsverantwoordelijke als een e-mailadres van de FG in zijn opgenomen of om formulieren waarin het KVK nummer ontbreekt of niet juist is ingevuld. Het kan dan enige tijd duren voordat u een bevestigingsmail krijgt.
* Door de vakantieperiode duurt het momenteel langer dan gebruikelijk voordat u een bevestiging van aanmelding van ons ontvangt. Onze excuses voor het ongemak.
-
Waarom geeft het formulier een foutmelding bij het invoeren van mijn e-mailadres?
Waarschijnlijk heeft u tweemaal hetzelfde e-mailadres ingevuld. Het e-mailadres van de verwerkingsverantwoordelijke/verwerker en het e-mailadres van de FG mogen niet hetzelfde zijn.
-
Ik ga extern een FG inhuren. Mag ik dan n.n.b., p.m. of iets dergelijks invullen bij ‘naam FG’?
Nee, dit mag niet. U kunt ervoor kiezen een FG extern in te huren. Bij het aanmelden van deze FG moet u dan wel zijn of haar naam vermelden.