Functionaris Gegevensbescherming (FG)
Omdat u toch al veel leeswerk heeft, onze bijdrage over de Functionaris Gegevensbescherming (FG)
Wat verandert er 25 mei 2018 feitelijk, met betrekking tot het beschermen van persoonsgegevens?
Die dag is de ingangsdatum voor:
- De verantwoordingsplicht van ondernemers, directies en bestuurders (de verantwoordelijke).
- Het sanctiebeleid van de Autoriteit Persoonsgegevens.
De naleving en de verantwoordingsplicht van de privacywet is de verantwoordelijkheid van de verantwoordelijke of de bewerker (in de AVG heet dit: de verwerker).
De verantwoordelijke moet in een aantal gevallen verplicht een Functionaris Gegevensbescherming (FG) aanstellen, maar mag dit ook op vrijwillige basis doen.
Een belangrijke taak van de FG is intern toezicht houden op het naleven van de privacywet. Om dit te kunnen doen, zal de FG:
- Informatie verzamelen over gegevensverwerkingen binnen de organisatie.
- Deze verwerkingen analyseren en beoordelen of ze aan de wet voldoen.
- Informatie, adviezen en aanbevelingen geven aan de verantwoordelijke van de organisatie.
Wanneer bent u verplicht een Functionaris Gegevensbescherming (FG) aan te stellen?
Op grond van artikel 37 van de AVG is een FG in drie situaties verplicht (bron AP):
1. Overheden en publieke organisaties
Overheidsinstanties en publieke organisaties zijn altijd verplicht om een FG aan te stellen, ongeacht het type gegevens dat ze verwerken. Het kan gaan om de rijksoverheid, gemeenten en provincies, maar ook om bijvoorbeeld zorg- en onderwijsinstellingen.
2. Profilering en observatie *
Organisaties die vanuit kernactiviteiten op grote schaal individuen volgen, ten behoeve van profilering en regelmatige en stelselmatige observatie. Relevant hierbij zijn onder meer het aantal mensen dat een organisatie volgt, de hoeveelheid gegevens die deze organisatie verwerkt en hoe lang de organisatie mensen volgt.
* Elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met als doel: beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen.
* Voorbeelden: beheren telecommunicatienetwerk, leveren telecommunicatiediensten, retargeting via e-mail, marketingactiviteiten op basis van gegevens, profilering en scores toekennen met het oog op risicobeoordeling (bijv. voor: toekenning van een kredietwaardigheidsscore, bepaling van verzekeringspremies, fraudepreventie, detectie van witwaspraktijken), locatietracering, bijv. via mobiele apps, programma’s voor klantenbinding, gedrag gerelateerde publiciteit, monitoring van gezondheids- en conditiegegevens via draagbare apparaten, gesloten tv-circuit, gekoppelde apparaten bv. slimme meters, slimme wagens, domotica enz.
3. Bijzondere persoonsgegevens
Organisaties die op grote schaal** bijzondere persoonsgegevens verwerken en dit een kernactiviteit is. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden.
** Voorbeelden van verwerkingen die niet als grootschalig worden beschouwd: patiëntgegevens door een individuele arts, persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten door een individuele advocaat.
N.B. Wanneer onduidelijk is of u verplicht bent om een Functionaris Gegevensbescherming aan te stellen, moet u goed kunnen onderbouwen waarom u ervoor gekozen hebt om al dan niet een FG aan te stellen.
Wat doet de Functionaris Gegevensbescherming (FG)
Taken
Enkele werkzaamheden van een FG (bron AP):
- Toezicht houden.
- Inventarisaties van gegevensverwerkingen maken.
- Meldingen van gegevensverwerkingen bijhouden.
- Vragen en klachten van mensen binnen en buiten de organisatie afhandelen.
- Interne regelingen ontwikkelen.
- Adviseren over technologie, organisatie en beveiliging (privacy by design & default).
- Input leveren bij het opstellen of aanpassen van een gedragscode.
Melden gegevensverwerking
Moet u een risicovolle verwerking melden bij de Autoriteit Persoonsgegevens?
Als u een FG heeft, kunt u deze melding bij de FG doen.
Eisen aan een FG
De wet stelt een aantal eisen aan FG’s:
- Een FG moet een natuurlijk persoon zijn. Een ondernemingsraad of commissie komt dus niet in aanmerking.
- Een FG moet voldoende kennis hebben van de organisatie en de privacywetgeving.
- Een FG moet betrouwbaar zijn. Dit uit zich onder meer in een geheimhoudingsplicht.
Bevoegdheden FG
Een FG heeft geen formele sanctiebevoegdheden. Maar de organisatie is wel wettelijk verplicht om de FG controlebevoegdheden te geven. Zo moet een FG bevoegd zijn om ruimtes te betreden, zaken te onderzoeken en inlichtingen en inzage te vragen.
De FG moet in onafhankelijkheid zijn werkzaamheden kunnen verrichten binnen een organisatie.
Een FG heeft dezelfde ontslagbescherming als leden van een ondernemingsraad. Dit betekent dat hij pas ontslagen kan worden na toestemming van de kantonrechter.
Toezicht door Autoriteit Persoonsgegevens
Heeft een organisatie een FG, dan behoudt de Autoriteit Persoonsgegevens als nationale toezichthouder alle bevoegdheden. Maar de Autoriteit Persoonsgegevens stelt zich terughoudend op bij organisaties met een FG.
FG aanstellen
Een (branche)organisatie kan een of meerdere FG’s aanstellen. De organisatie moet elke FG vervolgens aanmelden bij de Autoriteit Persoonsgegevens. Pas dan kan de FG als zodanig aan de slag.
Let op belangenverstrengeling: een verantwoordelijke (degene die het doel van en de middelen voor de gegevensverwerking vaststelt) kan niet tevens FG zijn in zijn eigen organisatie.
FG aanmelden bij Autoriteit Persoonsgegevens
U kunt een FG aanmelden bij de Autoriteit Persoonsgegevens via het aanmeldingsformulier.
Voor de complete richtlijn over de FG, zie:
https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp243rev01_nl.pdf
Wanneer bent u verplicht een Functionaris Gegevensbescherming (FG) aan te stellen?
N. van Es Management & Advies verleent ook diensten als Functionaris Gegevensbescherming.
Er zijn diverse contractvormen mogelijk.
Welke voor een organisatie het meest geschikt is kunnen wij in onderling overleg vaststellen.
Wil je meer weten?
Nodig mij dan uit voor een kopje koffie.
Neem contact op met,
Norman van Es
+31(0)6 5336 4808
nvanes@mangementenadvies.com
Contactgegevens
N. van Es Management en Advies
Telefoon: +31(0)6 5336 4808
E-mail: nvanes@managementenadvies.com