Vergroot contrast

Functionaris voor de gegevensbescherming (FG)

Organisaties zijn in bepaalde situaties verplicht een functionaris voor de gegevensbescherming (FG) aan te stellen. Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de Algemene verordening gegevensbescherming

Op grond van artikel 37 van de AVG is een FG in drie situaties verplicht:

Overheden en publieke organisaties

Ten eerste zijn overheidsinstanties en publieke organisaties altijd verplicht om een FG aan te stellen, ongeacht het type gegevens dat ze verwerken. Het kan gaan om de rijksoverheid, gemeenten en provincies, maar ook om bijvoorbeeld zorg- en onderwijsinstellingen. Voor rechtbanken geldt de verplichte aanstelling van een FG niet.

Observatie

Ten tweede geldt de verplichting om een FG aan te stellen voor organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen of diens activiteiten in kaart brengen. Het kan hierbij gaan om bijvoorbeeld profilering van mensen voor het maken van risico-inschattingen, cameratoezicht, personeelsvolgsystemen en monitoring van iemands gezondheid via wearables.

Relevant hierbij zijn onder meer het aantal mensen dat een organisatie volgt, de hoeveelheid gegevens die deze organisatie verwerkt en hoe lang de organisatie mensen volgt. 

Bijzondere persoonsgegevens

Ten derde zijn organisaties verplicht een FG te benoemen als ze op grote schaal bijzondere persoonsgegevens verwerken en dit een kernactiviteit is. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden.

Andere situaties

EU-lidstaten kunnen ook andere situaties benoemen waarin een FG verplicht is. Het is nog niet bekend of dit in Nederland gaat gebeuren. Wanneer onduidelijk is of u verplicht bent om een FG aan te stellen, moet u goed kunnen onderbouwen waarom u ervoor gekozen hebt om dat wel of niet te doen.

FG aanmelden

Organisaties moeten hun FG aanmelden bij de AP. Aanmelden kan via het aanmeldingsformulier functionaris voor de gegevensbescherming (FG). Let op: alle FG-aanmeldingen die niet met dit webformulier zijn gedaan, zijn per 25 mei 2018 vervallen. Op het aanmelden van de FG is het Privacystatement FG-register van de Autoriteit Persoonsgegevens van toepassing.

Guidelines FG

De Europese privacytoezichthouders hebben in april 2017 de (definitieve) Guidelines on Data Protection Officers gepubliceerd die meer uitleg geven over de FG. Er is ook een officiële Nederlandse vertaling van de guidelines FG beschikbaar.

Nieuws

Alle nieuwsberichten over het onderwerp 'Functionaris voor de gegevensbescherming (FG)'

Alle antwoorden op mijn vragenVragen over de FG

  • Kan ik als organisatie ook een FG aanstellen als dit niet verplicht is?

    Ja, dat kan. Het kan zelfs heel nuttig zijn om iemand aan te nemen of in te huren die gespecialiseerd is in de bescherming van persoonsgegevens.

    Vrijwillig een FG aanstellen is vooral aan te raden als u een bedrijf bent dat overheidstaken uitvoert. Bijvoorbeeld een openbaarvervoerbedrijf, energiebedrijf of woningcorporatie.

    Regels FG

    Voor een FG die u aanstelt zonder dat u daartoe verplicht bent, gelden dezelfde regels als voor de verplichte FG zodra u deze medewerker aanduidt als een ‘functionaris voor de gegevensbescherming’. Onder meer als het gaat om de professionaliteit en het takenpakket van de FG (zie hiervoor artikelen 37, 38 en 39 van de AVG). U moet een vrijwillig aangestelde FG ook aanmelden bij de AP.

    Let op: Er kan verwarring ontstaat wanneer een vrijwillig aangestelde medewerker zich FG noemt, terwijl de organisatie niet van plan is aan deze medewerker dezelfde eisen te stellen. Het is in dit geval de bedoeling om deze persoon aan te duiden als een ‘privacy officer’ of dergelijke benaming.

    Alternatief voor FG

    Is uw organisatie niet verplicht om een FG aan te wijzen? Dan kunt u  in plaats van een FG ook een werknemer in dienst nemen of een adviseur inhuren die zich met de bescherming van persoonsgegevens bezighoudt.

    Heeft deze persoon een andere functienaam, positie en takenpakket dan een FG? Dan gelden de wettelijke regels voor de FG niet.

    Het is dan wel belangrijk om duidelijk te maken – zowel binnen als buiten uw organisatie - dat deze persoon geen FG in de zin van de wet is.

  • Moet ik mijn FG (opnieuw) aanmelden bij de AP?

    Ja, organisaties moeten hun functionaris voor de gegevensbescherming (FG) met een nieuw webformulier aanmelden bij de Autoriteit Persoonsgegevens (AP). Organisaties die hun FG al eerder hebben aangemeld, moeten dat opnieuw doen. FG-aanmeldingen die niet via het online aanmeldingsformulier zijn gedaan, zijn na 25 mei 2018 vervallen.

    De AVG stelt andere eisen aan het aanstellen en het aanmelden van een FG dan de Wet bescherming persoonsgegevens (Wbp). De AP heeft op grond van de AVG aanvullende informatie nodig over de FG. Bijvoorbeeld of er sprake is van een verplichte of van een vrijwillige FG.

    Om die complete informatie te krijgen, moeten FG’s aangemeld worden met het online aanmeldingsformulier functionaris voor de gegevensbescherming (FG). Alle FG-aanmeldingen die niet via dit online formulier zijn gedaan, komen per 25 mei 2018 te vervallen.

  • Kan een concern met verschillende onderdelen één FG aanstellen?

    Ja, meerdere bedrijfsonderdelen kunnen samen één FG aanstellen. Ook een groep organisaties kan een gezamenlijke FG benoemen. De voorwaarde voor een gezamenlijke FG is dat deze persoon goed bereikbaar is vanuit elke afdeling en vestiging en daadwerkelijk in staat is om de wettelijke taken vaneen FG in de praktijk uit te voeren.

    Goede bereikbaarheid

    Een goede bereikbaarheid van de gezamenlijke FG betekent dat de contactgegevens van de FG breed beschikbaar zijn. Betrokkenen en toezichthouders moeten eenvoudig met de FG kunnen communiceren.

    De mogelijkheid om direct contact op te nemen met de FG (via een telefoonnummer of een ander veilig communicatiekanaal) is daarbij essentieel.

  • Wat moet een FG weten en kunnen?

    Van een FG wordt verwacht dat hij of zij bovengemiddelde vakkennis heeft van privacywetgeving en van de praktijk van gegevensbescherming.

    De vereiste expertise en vaardigheden omvatten in ieder geval:

    • kennis van nationale en Europese privacywet- en regelgeving over gegevensbescherming;
    • begrip van de gegevensverwerkingen die de organisatie uitvoert;
    • begrip van IT en informatiebeveiliging;
    • kennis van de organisatie en de sector waarin die actief is; 
    • vaardigheden om binnen de organisatie een cultuur van gegevensbescherming te ontwikkelen.

    Concreet kennisniveau

    Het concrete kennisniveau dat een FG moet hebben, is afhankelijk van de betreffende organisatie. Welke gegevensverwerkingen voert de organisatie uit? En welk niveau van bescherming van persoonsgegevens vereist dit?

    Een FG heeft bijvoorbeeld meer expertise (en ondersteuning) nodig als de organisatie grote hoeveelheden gevoelige gegevens verwerkt.

  • Hoe kan een FG intern toezicht houden op het naleven van de privacywet?

    Een belangrijke taak van de FG is intern toezicht houden op het naleven van de AVG. Om dit te kunnen doen, kan de FG:

    • informatie verzamelen over gegevensverwerkingen binnen de organisatie;
    • deze verwerkingen analyseren en beoordelen of ze aan de wet voldoen;
    • informatie, adviezen en aanbevelingen geven aan de organisatie.

    Aansprakelijkheid

    De FG is niet persoonlijk aansprakelijk als er binnen zijn organisatie een overtreding van de privacywet is.

    De naleving van de privacywet is een verantwoordelijkheid van de verwerkingsverantwoordelijke of de verwerker.

  • Wat moet ik regelen zodat de FG zijn werk goed kan doen?

    Volgens artikel 38 van de AVG heeft een FG voldoende middelen nodig om zijn taak te kunnen uitvoeren. En moet hij toegang hebben tot de persoonsgegevens en de verwerkingen van de gegevens in de organisatie. Daarnaast moet een FG zijn kennisniveau op peil kunnen houden.

    Concreet heeft een FG onder meer het volgende nodig om de functie in te vullen:

    • de actieve steun vanuit het management;
    • voldoende tijd om de taken uit te voeren;
    • voldoende praktische ondersteuning (budget, faciliteiten en personeel);
    • heldere communicatie aan al het personeel over de benoeming van de FG; 
    • scholing.
  • Hoe zorg ik ervoor dat de FG onafhankelijk kan werken?

    In de AVG zijn verschillende waarborgen opgenomen die de FG helpen om onafhankelijk zijn werk te kunnen doen.

    Waarborgen onafhankelijke FG

    • U mag de FG geen instructies geven hoe hij zijn taken als FG moet uitvoeren.
    • U mag de FG niet ontslaan of een sanctie geven als gevolg van de uitoefening van zijn FG-taken.
    • Er mag geen belangenverstrengeling zijn tussen de FG-taken en de eventuele andere taken of functies van de FG.
    • De FG moet zonder tussenkomst van anderen in de organisatie toegang hebben tot de hoogste bestuurders (de verwerkingsverantwoordelijke in de zin van de wet) om adviezen te kunnen geven.

    Belangenverstrengeling voorkomen

    Om belangenverstrengeling te voorkomen, mag de FG binnen de organisatie niet ook een functie hebben waarin hij het doel en de middelen van een gegevensverwerking bepaalt.

    Dit kan bijvoorbeeld zo zijn als de FG een managementpositie vervult. Zoals hoofd financiën, strategie, marketing, IT, HRM of chief information security officer (CISO).

  • Welke rol speelt de FG bij data protection impact assessments (DPIA’s)?

    De organisatie, niet de FG, heeft de taak om een data protection impact assessment (DPIA) uit te voeren als dat noodzakelijk is. De organisatie is verplicht om de FG hierbij om advies te vragen.

    Advies FG

    Het is aan te raden om de FG advies te vragen over:

    • de afweging om wel of niet een DPIA uit te voeren;
    • de onderzoeksmethode die geschikt is voor de DPIA;
    • de vraag of de organisatie de DPIA zelf uitvoert of hiervoor een gespecialiseerd bureau inschakelt;
    • de waarborgen die nodig zijn om de risico’s voor betrokkenen te beperken;
    • de vraag of de uitkomsten van de DPIA in overeenstemming zijn met de wet.

    De organisatie moet in het rapport over de DPIA opnemen wat het advies van de FG is en wat daarmee is gedaan.

  • Moet de FG bijhouden welke gegevens mijn organisatie verwerkt?

    U bent er als organisatie verantwoordelijk voor om overzicht te houden van de gegevensverwerkingen binnen uw organisatie. De FG heeft deze verantwoordelijkheid niet.

    Maar in de praktijk houden FG’s al vaak een lijst bij van de gegevensverwerkingen. Vooral bij risicovolle verwerkingen. De FG houdt toezicht op het naleven van de plichten van de verantwoordelijke, waaronder deze registerplicht.

  • Wat valt onder de 'kernactiviteiten' van een organisatie?

    Onder de kernactiviteiten van een organisatie vallen de processen die essentieel zijn om de doelen van de organisatie te bereiken. Of die tot de hoofdtaken van de organisatie horen.

    Zo is de verwerking van gegevens over de gezondheid een kernactiviteit van een ziekenhuis. Maar de verwerking van persoonsgegevens die ondersteunend is aan de bedrijfsvoering, zoals voor de salarisadministratie, valt dan buiten de kernactiviteiten.

  • Hoe moet ik de gegevens van de FG van mijn organisatie bekend maken?

    Het moet voor mensen makkelijk zijn om contact op te nemen met de FG zonder dat daar iemand tussen zit. Een website is daar een makkelijk middel voor, maar het mag ook op een andere manier.

    Verder is het niet verplicht om de naam van de functionaris voor de gegevensbescherming (FG) van uw organisatie te vermelden. Een telefoonnummer of  e-mailadres waarmee de FG te bereiken is, volstaat.

  • Waarom is er geen openbaar FG-register meer?

    De AVG verplicht verwerkingsverantwoordelijken en verwerkers de contactgegevens van hun FG zelf openbaar te maken. Daarom is het niet meer nodig dat de AP het FG-register openbaar maakt.

Toon meer vragen en antwoorden-  Toon minder vragen en antwoorden

Alle antwoorden op mijn vragenVragen over het aanmeldingsformulier FG

  • Ik heb mijn FG ooit al een keer aangemeld, moet ik dit opnieuw doen?

    Ja, als de FG niet via het webformulier is aangemeld, moet u dat opnieuw doen. De Algemene verordening gegevensbescherming (AVG) stelt andere eisen aan het aanstellen en aanmelden van een FG dan de huidige Wet bescherming persoonsgegevens (Wbp). De AP heeft op grond van de AVG aanvullende informatie nodig over de FG. Bijvoorbeeld of er sprake is van een verplichte of van een vrijwillige FG. Om die complete informatie te krijgen, moeten FG’s aangemeld worden met het online aanmeldingsformulier functionaris voor de gegevensbescherming (FG).

    Let op: alle FG-aanmeldingen die niet via het online formulier zijn gedaan, komen per 25 mei 2018 te vervallen.

     

  • Wanneer is er sprake van een nieuwe aanmelding en wanneer van een wijziging?

    Als u nog niet eerder een aanmelding heeft gedaan met het webformulier (dat sinds 3 april 2018 op de website van de AP staat) dan is er sprake van een nieuwe aanmelding.

    Er is dus géén sprake van een wijziging als u uw FG eerder al had aangemeld met het oude aanmeldformulier.

  • Wanneer krijg ik een FG-nummer?

    U ontvangt een FG-nummer in de bevestigingsmail die volgt op de aanmelding met het webformulier.
    Als u het aanmeldformulier correct heeft ingevuld ontvangt u binnen één werkdag een bevestiging. Aanmeldingsformulieren die niet correct zijn ingevuld worden handmatig gecorrigeerd. Het gaat dan bijvoorbeeld om aanmeldingsformulieren waarin niet zowel een e-mailadres van de verwerkingsverantwoordelijke als een e-mailadres van de FG in zijn opgenomen of om formulieren waarin het KVK-nummer ontbreekt of niet juist is ingevuld. Het kan daarom enige tijd duren voordat u een bevestigingsmail met het FG-nummer krijgt.

  • Wanneer krijg ik een bevestiging van mijn aanmelding?

    Als u het aanmeldformulier correct heeft ingevuld ontvangt u binnen één werkdag een bevestiging.

    Aanmeldingsformulieren die niet correct zijn ingevuld worden handmatig gecorrigeerd. Het gaat dan bijvoorbeeld om aanmeldingsformulieren waarin niet zowel een e-mailadres van de verwerkingsverantwoordelijke als een e-mailadres van de FG in zijn opgenomen of om formulieren waarin het KVK nummer ontbreekt of niet juist is ingevuld. Het kan dan enige tijd duren voordat u een bevestigingsmail krijgt.

  • Waarom geeft het formulier een foutmelding bij het invoeren van mijn e-mailadres?

    Waarschijnlijk heeft u tweemaal hetzelfde e-mailadres ingevuld. Het e-mailadres van de verwerkingsverantwoordelijke/verwerker en het e-mailadres van de FG mogen niet hetzelfde zijn.  

  • Ik ga extern een FG inhuren. Mag ik dan n.n.b., p.m. of iets dergelijks invullen bij ‘naam FG’?

    Nee, dit mag niet. U kunt ervoor kiezen een FG extern in te huren. Bij het aanmelden van deze FG moet u dan wel zijn of haar naam vermelden.