Vestiging Amsterdam

  • Jollemanhof 12
  • 1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
btw
NL8223.30.040.B01
Terug naar overzicht

De FG (Functionaris Gegevensbescherming): vereisten en werkzaamheden

In onze blog van vorige week berichtten we al dat de AP (Autoriteit Persoonsgegevens) werk gaat maken van controles binnen de private sector op het al dan niet aangemeld hebben van een FG. Dit in navolging op een aantal steekproeven bij grote private organisaties.

Naast deze vooruitblik stonden we ook stil bij de vraag wanneer een organisatie nou daadwerkelijk verplicht is om een FG aan te stellen. In het verlengde daarvan gaan we deze week in op de vereisten waaraan een FG moet voldoen en welke werkzaamheden deze binnen de organisatie uit dient te voeren.

Waar moet een FG aan voldoen?

Het spreekt voor zich dat een organisatie niet zomaar ‘jan-en-alleman’ kan aanstellen om FG te worden. De AP stelt namelijk strenge eisen aan de vaardigheden en kennis van een aangemelde FG. De FG moet aan de ene kant voldoende juridische kennis hebben: hij moet goed op de hoogte zijn van Europese en nationale privacy wet- en regelgeving. Ook is het aanbevolen dat de FG over de vaardigheden beschikt om bij te dragen aan het niveau van gegevensbescherming, bijvoorbeeld door middel van het op poten zetten van adequate beveiliging van het verwerkingsproces en het eventueel opstellen en bijhouden van een verwerkingsregister. Aan de andere kant moet een FG voldoende expertise hebben in de sector waarin de organisatie actief is en moet hij/zij voldoende kaas hebben gegeten van informatietechnologie in het algemeen. Het hangt van de organisatie af welke specifieke kennis daadwerkelijk nodig is. Zo zal een FG in bepaalde sectoren over de nodige dosis vakkennis moeten beschikken. Het ontberen van deze deskundigheid is dan een duidelijke ‘no go’ voor de FG.

Deze eisen kunnen een uitdaging vormen voor bedrijven, zeker voor organisaties binnen specialistische branches. Zo gaf het UWV afgelopen april bijvoorbeeld al aan dat er een groot tekort aan securityspecialisten op de ICT-arbeidsmarkt is.

Naast de bovenstaande inhoudelijke eisen moet de FG ook een onafhankelijke positie bekleden in het bedrijf. De FG moet iemand zijn die daadwerkelijk melding kan maken van zwakke punten in de organisatie met betrekking tot de verwerking en beveiliging van persoonsgegevens. De FG mag daarbij niet gehinderd worden door gezagsstructuren of hiërarchische verhoudingen. Het is bijvoorbeeld niet de bedoeling dat een ondergeschikte van de ICT-afdeling aangemeld wordt bij de AP als FG, omdat op deze manier de afstand van de FG tot het daadwerkelijke bestuur van de organisatie te groot is: de FG moet direct verslag uit kunnen brengen aan de directie. Ook mag de FG geen instructies krijgen van de bedrijfsleiding of het management en kan hij niet ontslagen worden als gevolg van de uitoefening van de taken die hij uitvoert of de mogelijk ‘ongewenste’ adviezen die hij geeft.

Het is belangrijk om te onthouden dat de FG niet zelf aansprakelijk wordt gehouden door de AP op het moment dat de organisatie de AVG niet naleeft. Het naleven van de AVG blijft namelijk de verantwoordelijkheid van de organisatie zelf. De FG wordt geacht hierbinnen slechts een ondersteunende functie te hebben.

Hoe houdt een FG toezicht?

Met het bovenstaande in het achterhoofd is het belangrijk om op zoek te gaan naar het antwoord op de vraag: welke werkzaamheden voert de FG daadwerkelijk uit om toezicht te kunnen houden op de juiste naleving van de privacywetgeving?

De FG gaat ten eerste zelfstandig op zoek naar informatie over de gegevensverwerkingen binnen de organisatie en beoordeelt of deze verwerkingen aan de AVG voldoen. Op basis van de uitkomst van deze beoordeling rapporteert de FG aan de leiding van de organisatie. Voor deze informatievergaring en beoordeling moet de organisatie de FG voldoende middelen ter beschikking stellen. De Autoriteit Persoonsgegevens raadt aan om de FG in ieder geval voldoende tijd te geven om zijn of haar taken uit te voeren, om te zorgen voor scholing en trainingen (en hier voldoende budget voor vrij te maken), om faciliteiten en personeel vrij te maken voor de werkzaamheden en bovendien altijd actieve ondersteuning te bieden vanuit het management.

Daarnaast is de organisatie bij het uitvoeren van een data protection impact assessment (PIA)verplicht om advies te vragen aan de FG. Deze PIA kan namelijk noodzakelijk zijn wanneer een organisatie besluit gebruik te maken van nieuwe technologie voor het verwerken van persoonsgegevens, of wanneer het op grote schaal bijzondere persoonsgegevens gaat verwerken. In zijn advies dient de FG o.a. in te gaan op de noodzaak van het uitvoeren van de PIA en de methodiek die voor de PIA gebruikt moet worden. Na de PIA vindt er een terugkoppeling plaats waarbij de FG onder meer aangeeft of alles goed is verlopen en of de uitkomst van de PIA in lijn is met de AVG. Er moeten goede argumenten aangevoerd worden door de organisatie, mocht deze willen afwijken van dit advies van de FG.

Tot slot is de FG natuurlijk ook het aanspreekpunt voor de AP. In het geval er een datalek gemeld dient te worden, dan zal de FG dit doen en ook verder contact (hierover) zal onderhouden worden met de FG van de organisatie. Het is daarmee belangrijk en verplicht om de FG aan te melden bij de AP en zijn/haar contactgegevens te publiceren op de eigen website.

Jorden Bailey

Juridisch adviseur

Jorden Bailey werkt als juridisch adviseur bij ICTRecht, en maakt onderdeel uit van het privacyteam. Binnen ICTRecht houdt Jorden zich voornamelijk bezig met juridische vraagstukken en het geven van praktische adviezen op het gebied van privacy. Ook is Jorden bij uitstek thuis in het adviseren over de inzet van biometrische technologieën, zoals gezichtsherkenning.


Er zijn nog geen reacties.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Uw persoonsgegevens gebruiken wij alleen voor het plaatsen en verwerken van uw reactie. Lees de privacyverklaring voor meer informatie