Wat heb je aan een Functionaris voor gegevensbescherming?

door | 7 november 2018

Sinds de Algemene Verordening Gegevensbescherming, AVG, van kracht is ontvangen wij steeds vaker vragen over de functionaris gegevensbescherming (FG). Een FG is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG.

In deze blog gaan wij dieper in op wanneer heb je een FG nodig, wie kan het zijn en wat moet een FG eigenlijk doen. Ook kunt u de officiële Richtlijnen voor functionarissen voor gegevensbescherming (Data Protection Officer, DPO), van de Autoriteit Persoonsgegevens onderaan deze blog downloaden.

Wanneer een FG?

In artikel 37 lid 1 van de AVG worden drie specifieke gevallen genoemd wanneer een FG verplicht is:

  1. Wanneer de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan.
  2. Wanneer de verantwoordelijke of de verwerker hoofdzakelijk verwerkingen uitvoert die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen.
  3. Wanneer de verantwoordelijke of de verwerker hoofdzakelijk grootschalige verwerkingen uitvoert van bijzondere categorieën van gegevens of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten.

Het eerste punt is duidelijk. Bij het tweede punt komt de vraag naar voren wat je onder regelmatig moet verstaan. Regelmatig verwerken dient gezien te worden als: voortdurend of gedurende een bepaalde periode, met bepaalde tussenpozen; terugkerend of op vaste tijden herhaald; constant of periodiek.  Dit was waarschijnlijk wel voor de hand liggend, maar wat minder voor de hand liggend is, is wat er verstaan wordt onder stelselmatig. Onder het stelselmatig verwerken van gegevens wordt verstaan: vooraf geregeld, georganiseerd of als onderdeel van een algemeen plan voor het verzamelen van gegevens. Hieronder een paar korte voorbeelden van regelmatig en stelselmatig verwerken van gegevens:

  • Het exploiteren van een telecommunicatienetwerk
  • Het bieden van telecommunicatiediensten
  • E-mail retargeting
  • Profilering en beoordeling voor risicoanalyse (bijv. voor kredietbeoordeling)
  • Het bepalen van verzekeringspremies
  • Lokalisering met bijvoorbeeld mobiele apps
  • Klantenkaarten: advertenties op basis van internetgedrag
  • De conditie en de gezondheid door draagbare apparaten: beveiligingscamera’s
  • Verbonden apparatuur zoals slimme meters, smart cars, smart homes enz.

Let wel op, want wanneer je vrijwillig een FG aanwijst, gelden voor zijn/haar aanwijzing, positie en taken dezelfde voorwaarden van artikel 37 tot en met 39 van de AVG die ook zouden gelden als de aanwijzing verplicht was geweest.

Wie mag een FG zijn?

In principe mag en kan niet iedereen in een organisatie de functie van een FG vervullen. De persoon die de functie van FG vervult, mag namelijk geen belangenconflict hebben met zijn huidige rol in de organisatie. De FG dient namelijk onafhankelijk te zijn. Dit houdt dus in dat een FG geen positie in de organisatie mag hebben, die ertoe leidt dat hij het doel en de middelen voor het verwerken van persoonsgegevens bepaalt. Een financieel directeur, die ook de functie van een FG vervult, is dus discutabel. Voor meer informatie zie artikel 38 lid 6 van de AVG.

Wat moet een FG doen?

De activiteiten die een FG dient uit te voeren zijn beschreven in de AVG en zijn minimaal de volgende punten:

  1. Creëren van privacy-bewustzijn in de organisatie.
  2. Actief betrokken zijn bij de wijze waarop wordt omgegaan met persoonsgegevens

Hierbij kunt u denken aan:

  • Meldingen van gegevensverwerkingen bijhouden
  • Bepalen uitvoeren PIA / BIA
  • Eerst aanspreekpunt bij een datalek
  • Bijhouden van het verwerkingsregister van persoonsgegevens
  • Vragen en klachten van mensen binnen en buiten de organisatie afhandelen
  • Adviseren over technologie en beveiliging (privacy by design)
  • Input leveren bij het opstellen of aanpassen van gedragscode.

Contact

Wilt u meer informatie over de FG? Ga dan naar onze pagina Functionaris gegevensbescherming of neem contact met ons op.