Eerder schreven we al over de positie en taken van de Functionaris voor Gegevensbescherming (FG) binnen een organisatie, ook wel bekend als Data Protection Officer (DPO). Onder de Algemene Verordening Gegevensbescherming (AVG) wordt het voor organisaties verplicht om een FG aan te stellen wanneer:
- de gegevensverwerking wordt verricht door een overheidsorgaan of overheidsinstantie;
- een verwerkingsverantwoordelijke of verwerker hoofdzakelijk is belast met gegevensverwerkingen die op grote schaal regelmatige en stelselmatige observatie van betrokkenen vereisen;
- een verwerkingsverantwoordelijke of verwerker hoofdzakelijk is belast met de verwerking van bijzondere persoonsgegevens op grote schaal.
Denk bijvoorbeeld aan gemeenten, ziekenhuizen, verzekeringsmaatschappijen, banken en internet- of telecomproviders.
De FG heeft een diversiteit aan taken. Hij of zij brengt - onder andere - in kaart op welke wijze de organisatie persoonsgegevens verwerkt, ziet intern toe op de naleving van de privacywetgeving, en adviseert in het kader van een risicoanalyse (Privacy Impact Assessment). Daarnaast is de FG aanspreekpunt voor - en werkt deze samen met - de privacytoezichthouder; voor Nederland is dit de Autoriteit Persoonsgegevens.
Maak een nieuwe melding van de FG: tussen 3 april en 25 mei
Om de communicatie tussen de toezichthouder en bedrijven zo soepel mogelijk te laten verlopen, houdt de Autoriteit Persoonsgegevens een register bij van alle bij haar aangemelde FG’s. Alle FG-aanmeldingen die momenteel hierin zijn gedaan, komen echter te vervallen per 25 mei 2018, wanneer de AVG van toepassing wordt. Ook wanneer u recent uw FG heeft aangemeld, dient dit dus opnieuw te gebeuren.
Vanaf 3 april komt hiervoor een nieuw formulier beschikbaar op de site van de Autoriteit Persoonsgegevens. Zorg er dus voor dat u vanaf die datum - maar in ieder geval vóór 25 mei - uw FG (opnieuw) bekendmaakt bij de toezichthouder. Het register van FG’s zal vanaf dan geen openbaar register meer zijn. Echter, u bent dan wel verplicht de contactgegevens van de FG te publiceren op uw website. Dit kan in de privacyverklaring. Uw klanten weten dan waar zij terechtkunnen wanneer zij vragen hebben over hoe u met persoonsgegevens omgaat.
Privacy-aanspreekpunt voor juiste omgang met persoonsgegevens
Bent u wettelijk niet verplicht een FG aan te stellen? Dan kunt u er desondanks vrijwillig één benoemen en aanmelden bij de Autoriteit Persoonsgegevens. Echter, deze dient dan wel te voldoen aan de eisen die de AVG aan de functie stelt, zoals het hebben van voldoende vakkennis en vaardigheden op privacygebied. Ook dient de FG onafhankelijkheid binnen de organisatie te genieten: de FG mag bijvoorbeeld geen deel uitmaken van het bestuur en heeft ontslagbescherming.
Het is echter ook mogelijk om een persoon als ‘privacy-aanspreekpunt’ te benoemen zonder dat deze de titel ‘Functionaris Gegevensbescherming’ heeft. Ook wanneer het aanstellen van een formele FG niet verplicht is, kan het namelijk raadzaam zijn om iemand (of meerdere personen) binnen uw organisatie verantwoordelijk te maken voor een juiste omgang met persoonsgegevens.
Functionaris Gegevensbescherming binnen uw organisatie
Gaat u binnen uw organisatie de rol van Functionaris Gegevensbescherming (FG) vervullen? Met onze basis- en verdiepingstraining privacywetgeving op dinsdag 17 april en donderdag 14 juni 2018 zorgt u voor een goede juridische voorbereiding om uw taken als Functionaris Gegevensbescherming uit te kunnen voeren.
