Waar het aanstellen van een Functionaris voor de Gegevensbescherming (FG) onder de Wbp niet verplicht was, is het aanstellen van een FG onder de Algemene Verordening Gegevensbescherming (AVG) in sommige situaties wel verplicht. De FG ziet binnen een organisatie toe op de omgang met persoonsgegevens en controleert of de organisatie voldoet aan de AVG en eventuele andere toepasselijke regelgeving.
Onder de AVG is een organisatie verplicht een FG aan te stellen wanneer de organisatie als kerntaak heeft het stelselmatig observeren van betrokkenen op grote schaal; wanneer de organisatie voor haar werkzaamheden hoofdzakelijk belast is met het op grote schaal verwerken van bijzondere persoonsgegevens; en wanneer het een publieke organisatie of overheid betreft.
Nu de AVG ongeveer anderhalve week van toepassing is, heeft de Autoriteit Persoonsgegevens voor de eerste keer een controle uitgevoerd bij alle gemeenten, provincies, waterschappen, ministeries en een aantal zelfstandige bestuursorganen om de naleving van deze specifieke verplichting onder de AVG door deze organisaties te monitoren.
Uit deze controle is gebleken dat minder dan vier procent van deze organisaties mogelijk nog geen FG hebben aangemeld. Hoewel het overgrote deel van de desbetreffende organisaties deze ‘nieuwe’ eis onder de AVG dus al lijkt na te komen, is het voor de resterende (+/-) vier procent van de publieke organisaties of overheden van groot belang om dit alsnog te doen, en wel voor 11 juni 2018, aldus de Autoriteit Persoonsgegevens. Organisaties die dit nalaten, kunnen onder de AVG namelijk fikse boetes worden opgelegd.
Hoewel het bovengenoemde onderzoek enkel is uitgevoerd onder publieke organisaties en overheden is het ook voor andere organisaties van belang een FG aan te stellen wanneer zij onder één (of meerdere) van de overige categorieën van organisaties vallen die verplicht zijn een FG aan te stellen (denk hierbij bijvoorbeeld aan bepaalde zorgverleners en scholen).
Naast dat het voor sommige organisaties dus een verplichting is, kan het aanstellen van een FG ook bijzonder nuttig zijn. Zo vormt de FG de brug tussen de organisatie en de Autoriteit Persoonsgegevens door te dienen als eerste aanspreekpunt, en kan de FG er eveneens voor zorgen dat de naleving van privacywetgeving wordt gewaarborgd binnen de organisatie.
Overigens hoeft een FG niet per se intern te worden aangesteld. Het is onder de AVG ook toegestaan om de FG extern aan te stellen. Wat de meest geschikte keuze is, hangt af van de activiteiten, de beschikbare kennis en mankracht binnen de organisatie, het budget en de wensen van een organisatie.
ICTRecht Academy verzorgt een basis- en verdiepingstraining privacywetgeving. Deze trainingen vormen samen een uitstekende voorbereiding om taken als FG uit te voeren. ICTRecht Academy verzorgt deze trainingen zowel voor juridische professionals als voor het algemeen publiek. Heeft u direct behoefte aan een deskundige FG? ICTRecht heeft specialisten beschikbaar die uw organisatie op afstand of gedetacheerd kunnen ondersteunen. Meer weten over deze mogelijkheden? Neem dan contact met ons op.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.