Vergroot contrast

Functionaris voor de gegevensbescherming (FG)

Per 25 mei 2018 geldt de Algemene verordening gegevensbescherming (AVG). Vanaf dit moment kunnen organisaties verplicht zijn een functionaris voor de gegevensbescherming (FG) aan te stellen. Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG. Op grond van artikel 37 van de AVG is een FG in drie situaties verplicht.

Overheden en publieke organisaties

Ten eerste zijn overheidsinstanties en publieke organisaties altijd verplicht om een FG aan te stellen, ongeacht het type gegevens dat ze verwerken. Het kan gaan om de rijksoverheid, gemeenten en provincies, maar ook om bijvoorbeeld zorg- en onderwijsinstellingen. Voor rechtbanken geldt de verplichte aanstelling van een FG niet.

Observatie

Ten tweede geldt de verplichting om een FG aan te stellen voor organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen. Het kan hierbij gaan om bijvoorbeeld profilering van mensen voor het maken van risico-inschattingen, cameratoezicht en monitoring van iemands gezondheid via wearables.

Relevant hierbij zijn onder meer het aantal mensen dat een organisatie volgt, de hoeveelheid gegevens die deze organisatie verwerkt en hoe lang de organisatie mensen volgt. 

Bijzondere persoonsgegevens

Ten derde zijn organisaties verplicht een FG te benoemen als ze op grote schaal bijzondere persoonsgegevens verwerken en dit een kernactiviteit is. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden.

Andere situaties

EU-lidstaten kunnen ook andere situaties benoemen waarin een FG verplicht is. Het is nog niet bekend of dit in Nederland gaat gebeuren. Wanneer onduidelijk is of u verplicht bent om een FG aan te stellen, moet u goed kunnen onderbouwen waarom u ervoor gekozen hebt om dat wel of niet te doen.

Guidelines FG

De Europese privacytoezichthouders hebben in april 2017 de (definitieve) Guidelines on Data Protection Officers gepubliceerd die meer uitleg geven over de FG.

Op een eerdere versie van deze guidelines (december 2016) vroegen de toezichthouders om feedback. Die is nu verwerkt in de definitieve versie.

Er is een Nederlandse vertaling beschikbaar van de eerdere versie. Binnenkort volgt de vertaling van de definitieve guidelines.

Bekijk binnen het onderwerp Functionaris voor de gegevensbescherming (FG)

Alle antwoorden op mijn vragenVragen over de FG

  • Kan ik als organisatie ook een FG aanstellen als dit niet verplicht is?

    Ja, dat kan. Het kan zelfs heel nuttig zijn om iemand aan te nemen of in te huren die gespecialiseerd is in de bescherming van persoonsgegevens.

    Vrijwillig een FG aanstellen is vooral aan te raden als u een bedrijf bent dat overheidstaken uitvoert. Bijvoorbeeld een openbaarvervoerbedrijf, energiebedrijf of woningcorporatie.

    Regels FG

    Voor een FG die u aanstelt zonder dat u daartoe verplicht bent, gelden dezelfde regels als voor de verplichte FG. Bijvoorbeeld als het gaat om de professionaliteit en het takenpakket van de FG (zie hiervoor artikelen 37, 38 en 39 van de AVG).

    Alternatief voor FG

    U kunt in plaats van een FG ook een werknemer in dienst nemen of een adviseur inhuren die zich met de bescherming van persoonsgegevens bezighoudt.

    Heeft deze persoon een andere functienaam, positie en takenpakket dan een FG? Dan gelden de wettelijke regels voor de FG niet.

    Het is dan wel belangrijk om duidelijk te maken – zowel binnen als buiten uw organisatie - dat deze persoon geen FG in de zin van de wet is.

  • Kan een concern met verschillende onderdelen één FG aanstellen?

    Ja, meerdere bedrijfsonderdelen kunnen samen één FG aanstellen. Ook een groep organisaties kan een gezamenlijke FG benoemen. De voorwaarde voor een gezamenlijke FG is dat deze persoon goed bereikbaar is vanuit elke afdeling en vestiging.

    Goede bereikbaarheid

    Een goede bereikbaarheid van de gezamenlijke FG betekent dat de contactgegevens van de FG breed beschikbaar zijn. Betrokkenen en toezichthouders moeten eenvoudig met de FG kunnen communiceren.

    De mogelijkheid om direct contact op te nemen met de FG (via een persoonlijke afspraak of een ander veilig communicatiekanaal) is daarbij essentieel.

  • Wat moet een FG weten en kunnen?

    Van een FG wordt verwacht dat hij of zij bovengemiddelde vakkennis heeft van privacywetgeving en van de praktijk van gegevensbescherming.

    De vereiste expertise en vaardigheden omvatten in ieder geval:

    • kennis van nationale en Europese privacywet- en regelgeving over gegevensbescherming;
    • begrip van de gegevensverwerkingen die de organisatie uitvoert;
    • begrip van IT en informatiebeveiliging;
    • kennis van de organisatie en de sector waarin die actief is; 
    • vaardigheden om binnen de organisatie een cultuur van gegevensbescherming te ontwikkelen.

    Concreet kennisniveau

    Het concrete kennisniveau dat een FG moet hebben, is afhankelijk van de betreffende organisatie. Welke gegevensverwerkingen voert de organisatie uit? En welk niveau van bescherming van persoonsgegevens vereist dit?

    Een FG heeft bijvoorbeeld meer expertise (en ondersteuning) nodig als de organisatie grote hoeveelheden gevoelige gegevens verwerkt.

  • Hoe kan een FG intern toezicht houden op het naleven van de privacywet?

    Een belangrijke taak van de FG is intern toezicht houden op het naleven van de privacywet. Om dit te kunnen doen, kan de FG:

    • informatie verzamelen over gegevensverwerkingen binnen de organisatie;
    • deze verwerkingen analyseren en beoordelen of ze aan de wet voldoen;
    • informatie, adviezen en aanbevelingen geven aan de organisatie.

    Aansprakelijkheid

    De FG is niet persoonlijk aansprakelijk als er binnen zijn organisatie een overtreding van de privacywet is.

    De naleving van de privacywet is een verantwoordelijkheid van de verantwoordelijke of de bewerker (in de AVG heet dit: de verwerker).

  • Wat moet ik regelen zodat de FG zijn werk goed kan doen?

    Volgens artikel 38 van de AVG heeft een FG voldoende middelen nodig om zijn taak te kunnen uitvoeren. En moet hij toegang hebben tot de persoonsgegevens en de verwerkingen van de gegevens in de organisatie. Daarnaast moet een FG zijn kennisniveau op peil kunnen houden.

    Concreet heeft een FG onder meer het volgende nodig om de functie in te vullen:

    • de actieve steun vanuit het management;
    • voldoende tijd om de taken uit te voeren;
    • voldoende praktische ondersteuning (budget, faciliteiten en personeel);
    • heldere communicatie aan al het personeel over de benoeming van de FG; 
    • scholing.
  • Hoe zorg ik ervoor dat de FG onafhankelijk kan werken?

    In de AVG zijn verschillende waarborgen opgenomen die de FG helpen om onafhankelijk zijn  werk te kunnen doen.

    Waarborgen onafhankelijke FG

    • U mag de FG geen instructies geven hoe hij zijn taken als FG moet uitvoeren.
    • U mag de FG niet ontslaan of een sanctie geven als gevolg van de uitoefening van zijn FG-taken.
    • Er mag geen belangenverstrengeling zijn tussen de FG-taken en de eventuele andere taken of functies van de FG.

    Belangenverstrengeling voorkomen

    Om belangenverstrengeling te voorkomen, mag de FG binnen de organisatie niet ook een functie hebben waarin hij het doel en de middelen van een gegevensverwerking bepaalt.

    Dit kan bijvoorbeeld zo zijn als de FG een managementpositie vervult, zoals hoofd financiën, strategie, marketing, IT of HRM.

  • Welke rol speelt de FG bij data protection impact assessments (DPIA’s)?

    De organisatie, niet de FG, heeft de taak om een data protection impact assessment (DPIA) uit te voeren als dat noodzakelijk is. De organisatie is verplicht om de FG hierbij om advies te vragen.

    Advies FG

    Het is aan te raden om de FG advies te vragen over:

    • de afweging om wel of niet een DPIA uit te voeren;
    • de onderzoeksmethode die geschikt is voor de DPIA;
    • de vraag of de organisatie de DPIA zelf uitvoert of hiervoor een gespecialiseerd bureau inschakelt;
    • de waarborgen die nodig zijn om de risico’s voor betrokkenen te beperken;
    • de vraag of de uitkomsten van de DPIA in overeenstemming zijn met de wet.

    De organisatie moet in het rapport over de DPIA opnemen wat het advies van de FG is en wat daarmee is gedaan.

  • Moet de FG bijhouden welke gegevens mijn organisatie verwerkt?

    U bent er als organisatie verantwoordelijk voor om overzicht te houden van de gegevensverwerkingen binnen uw organisatie. De FG heeft deze verantwoordelijkheid niet.

    Maar in de praktijk houden FG’s al vaak een lijst bij van de gegevensverwerkingen. Vooral bij risicovolle verwerkingen. Hoewel deze taak niet tot de wettelijke taken van de FG behoort, kunt u ervoor kiezen deze taak bij de FG onder te brengen.

  • Wat valt onder de 'kernactiviteiten' van een organisatie?

    Onder de kernactiviteiten van een organisatie vallen de processen die essentieel zijn om de doelen van de organisatie te bereiken. Of die tot de hoofdtaken van de organisatie horen.

    Zo is de verwerking van gegevens over de gezondheid een kernactiviteit van een ziekenhuis. Maar de verwerking van persoonsgegevens die ondersteunend is aan de bedrijfsvoering, zoals voor de salarisadministratie, valt dan buiten de kernactiviteiten.

Toon meer vragen en antwoorden-  Toon minder vragen en antwoorden