Stap 7. Functionaris voor de gegevensbescherming
Moet ik een functionaris voor de gegevensbescherming aanstellen?
Een functionaris voor de gegevensbescherming (FG) is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG. Als Verwerkingsverantwoordelijke of Verwerker kan je in bepaalde gevallen verplicht zijn een functionaris gegevensbescherming (FG) aan te stellen. Voor onze sector gaat het voornamelijk om de vraag of je hoofdzakelijk belast bent met grootschalige verwerking van bijzondere of strafrechtelijke persoonsgegevens.
Twee aspecten zijn relevant als afwegingskader:
1) hoofdzakelijk belast: behoort de verwerking van bijzondere en strafrechtelijke persoonsgegevens tot de hoofdtaken/kernactiviteiten van de organisatie.
2) op grote schaal: de Verordening laat in het midden wat op grote schaal is. Je moet dit zelf bepalen aan de hand van criteria als: hoeveelheid betrokkenen, hoeveelheid gegevens, duur of permanente karakter van de verwerking, en geografische omvang van de verwerking. De Autoriteit Persoonsgegevens verwacht dat er op den duur een praktische standaard komt waarmee eenvoudiger bepaald kan worden of een organisatie op grote schaal (bijzondere) persoonsgegevens verwerkt en dus een FG moet aanstellen.
Als voorbeeld van grootschalige verwerking wordt genoemd: de verwerking van patiëntgegevens in het ziekenhuis, maar niet de verwerking van deze gegevens door een individuele arts.
LET OP! Volg en observeer je vanuit je kernactiviteit op grote schaal individuen, dan moet je mogelijk ook een FG aanstellen. Bijvoorbeeld als het gaat om profilering van mensen voor het maken van risico-inschattingen (dit is iets anders dan het opstellen van individuele klant- en risicoprofielen), of om monitoring van iemands rijgedrag of gezondheid via chipin-stekkers of wearables.
TIP! Als je geen FG aanstelt adviseert de Autoriteit Persoonsgegevens dat ‘wanneer onduidelijk is of je verplicht bent om een FG aan te stellen, je goed moet kunnen onderbouwen waarom je ervoor gekozen hebt om dat niet te doen’.
Vrijwillige of gedeelde Functionaris Gegevensbescherming
Het is uiteraard mogelijk een FG aan te stellen, ook als dit niet verplicht is. Voor een FG die aangesteld wordt zonder dat dit verplicht is, gelden dezelfde regels als voor een verplichte FG. Bijvoorbeeld voor wat betreft de eisen die aan de professionaliteit en het takenpakket worden gesteld.
Een mogelijkheid is ook dat meerdere bedrijfsonderdelen samen een FG aanstellen, of dat een groep organisaties gezamenlijk een FG benoemen. De FG moet voor Betrokkenen goed bereikbaar zijn, maar ook voor de toezichthouder.
Wanneer je binnen het bedrijf een Privacy-officer of medewerker gegevensbescherming aanstelt, dan moet je ervoor zorgen dat binnen de organisatie duidelijk is dat deze persoon niet een formele functie van FG heeft.
Eisen aan de FG
- Bekwaam: Een FG dient te worden aangewezen op grond van zijn professionele kwaliteiten waaronder in ieder geval:
- kennis van nationale en Europese privacywet- en regelgeving over gegevensbescherming;
- begrip van de gegevensverwerkingen die de organisatie uitvoert;
- begrip van IT en informatiebeveiliging;
- kennis van de organisatie en de sector waarin die actief is;
- vaardigheden om binnen de organisatie een cultuur van gegevensbescherming te ontwikkelen.
- ethisch denken en handelen en integer zijn.
- Eerste aanspreekpunt: De FG fungeert als eerste aanspreekpunt voor de toezichthouder en voor de Betrokkenen. De Verwerkingsverantwoordelijke of Verwerker is verplicht de contactgegevens van de FG aan de toezichthouder mee te delen en op te nemen in het Privacy-statement en het Register van de gegevensverwerkingen. Betrokkenen moeten contact kunnen zoeken met de FG over alle aangelegenheden die betrekking hebben op de verwerking van persoonsgegevens en de specifieke rechten die zij hebben.
Kerntaak van de FG is de Verwerkingsverantwoordelijke of Verwerker bijstaan bij het toezien op de naleving van de privacyregelgeving binnen de organisatie. Je bent dan ook verplicht als er een FG is, deze naar behoren en tijdig te betrekken bij alle zaken die verband houden met de gegevensbescherming. De FG dient per direct ingeschakeld te worden in geval van een datalek of een incident ten aanzien van de verwerking van de persoonsgegevens.
- Onafhankelijk: De FG moet zicht in alle gevallen onafhankelijk opstellen, hij mag dan ook geen instructies krijgen hoe hij zijn taak moet uitvoeren. Als de FG daarnaast nog een ander positie binnen het bedrijf heeft, mag dit niet leiden tot conflicterende belangen. Zo mag een FG niet degene zijn die die het doel en de middelen van de gegevensverwerking bepaalt, of een HR-functie bekleden.
Om zijn onafhankelijkheid te kunnen waarborgen, rapporteert de FG direct aan de hoogste leidinggevende binnen een organisatie, het voorkomt dat zijn adviezen ergens in de organisatie kunnen blijven steken. Aan de mening of een advies van de FG moet passende waarde worden gehecht. Bij afwijking van een advies van de FG is het aan te bevelen vast te leggen op welke gronden van het advies is afgeweken.
De FG kan ook niet ontslagen worden voor de uitvoering van zijn taken; hij geniet ontslagbescherming. Hij kan wel worden ontslagen wanneer blijkt dat hij niet meer over de benodigde professionele kwaliteiten beschikt. De ontslagbescherming heeft de FG om zich onafhankelijk te kunnen opstellen binnen een organisatie.
- Ondersteuning: Een FG moet altijd toegang hebben tot persoonsgegevens en de verwerkingsactiviteiten zodat hij zelfstandig kan onderzoeken of de verwerkingen voldoen aan de privacyregels.
Daarnaast moet hij voldoende benodigde middelen (tijd, geld, faciliteiten en ondersteuning) krijgen om zijn werk goed te kunnen doen. Hij moet ook in de gelegenheid gesteld worden om zijn deskundigheid op peil te houden.
- Geheimhouding: Een FG is verplicht tot geheimhouding ten aanzien van de uitvoering van zijn taken. Dit geldt ook over wat hij weet over klachten of verzoeken van Betrokkenen, tenzij een Betrokkene instemt met bekendmaking.
Welke taken heeft de FG
Een FG heeft de volgende taken:
- Informeren en adviseren over privacy-verplichting
Een FG heeft een informerende en adviserende taak over alle privacy-aangelegenheden binnen je bedrijf. Hij moet gezien worden als degene die de directie, het management en alle medewerkers adviseert over de wijze waarop aan de verplichtingen voor de gegevensbescherming moet worden voldaan. - Toezien op naleving privacy-regels
Een FG moet toezien op de naleving van de privacy-regels binnen het bedrijf. Hij ziet toe op de toewijzing van verantwoordelijkheden, de bewustwording en de opleiding van medewerkers die bij de gegevensbescherming zijn betrokken. Ook ziet hij toe op de uitvoering van audits. - Adviseren op verzoek
Een FG heeft desgevraagd een adviserende taak over een gegevenseffectbeoordeling. Hij adviseert over het al dan niet noodzakelijk zijn van deze activiteit. - Samenwerken met en optreden als contactpersoon voor de toezichthouder
Een FG is de linking-pin met de toezichthouder. De FG kan in overleg treden met de toezichthouder en kan adviesvragen omtrent de uitleg van privacyregels en privacyvraagstukken. De FG is voor de toezichthouder het contactpunt voor het opvragen van (verplicht) te verstrekken documenten en informatie bewijslast te leveren dat aan de verplichtingen van de privacyregels wordt voldaan.
- Rapporteren
Een FG brengt rechtstreeks verslag uit aan de hoogste leiding binnen het bedrijf. En FG kan jaarlijks een privacy-verslag uitbrengen.
Leiding is eindverantwoordelijk
Een FG dient de mogelijkheid te hebben zijn advies bij de hoogste leiding neer te leggen als hij van mening is dat er tegen de privacyregels in besluiten worden genomen. Een FG is echter nooit de eindverantwoordelijke voor de gegevensverwerking. Dit is en blijf je in alle gevallen zelf. De FG wordt geconsulteerd en houdt intern toezicht.