Welke taken heeft een FG? De AP geeft duidelijkheid

De Algemene verordening gegevensbescherming (AVG) vereist dat sommige organisaties een Functionaris Gegevensbescherming (FG) aanstellen. De FG is de interne toezichthouder op het gebied van gegevensbescherming, maar zal ook advies geven over naleving van de AVG. Om de verschillende taken van de FG te verduidelijken, heeft de Autoriteit Persoonsgegevens (AP) een aantal uitgangspunten gepubliceerd. In deze blog lichten we toe wat organisaties daarvan mogen verwachten.

Wat is de rol van de FG?

Het aanstellen van een FG kan verplicht zijn voor zowel een verwerkingsverantwoordelijke als een verwerker. Zo zijn overheidsorganisaties en organisaties die veel bijzondere persoonsgegevens verwerken – zoals een ziekenhuis of leverancier van een elektronisch patiëntendossier – verplicht om een FG aan te stellen. Hetzelfde geldt voor organisaties die op grote schaal personen observeren, zoals een beveiligings- of internetbedrijf dat diensten aanbiedt om websitebezoek te monitoren.

Onder de taken van de FG valt bijvoorbeeld het toezien op naleving van de AVG en het gegevensbeschermingsbeleid en informeren over nieuwe ontwikkelingen. Meer concreet geeft de FG advies met betrekking tot Data Protection Impact Assessments (DPIA’s), en zorgt de FG dat de awareness op peil blijft. Indien nodig werkt de FG samen met de AP.

Organisaties dienen te waarborgen dat de FG een onafhankelijke positie inneemt. Zo kan een lid van het bestuur, CISO of Hoofd van een afdeling nooit deze rol vervullen. De FG mag weliswaar ook niet-AVG taken verrichten, zolang dit maar geen belangenconflict oplevert. Wel rapporteert de FG direct aan het bestuur. Om deze onafhankelijkheid verder te waarborgen, mag de FG ook geen instructies ontvangen over het vervullen van dienst taken en geniet hij of zij ontslagbescherming.

Uitgangspunten volgens de AP

Zoals wel vaker biedt de letter van de wet niet voldoende duidelijkheid voor de praktijk. Zo heeft de FG enerzijds een toezichthoudende rol, en anderzijds een adviserende rol. Waar houdt de ene bevoegdheid op en begint de andere? En wanneer gaat een FG een bevoegdheid juist te buiten? Om wat meer duiding te geven aan de wettelijke taken, heeft de AP een aantal uitgangspunten hiervoor gepubliceerd. Hierin worden de rollen, processen en verantwoordelijkheden verduidelijkt.

Click me

De AP benadrukt dat de FG verantwoordelijk is voor het leveren van advies en het houden van toezicht. De FG is anderzijds niet verantwoordelijk voor het naleven van dit advies, dat is aan de organisatie. Hetzelfde geldt voor de rapportage aan het bestuur: als het bestuur adviezen niet oppakt, de FG niet hoort of hem of haar niet voldoende middelen biedt, kan de FG dat melden bij de AP. De AP kan zelfs verzocht worden om een onderzoek in te stellen naar de organisatie. Dit is wel een laatste redmiddel, als andere interventies niet werken.

Een andere verantwoordelijkheid van de organisatie is om de FG tijdig te betrekken bij nieuwe projecten waar persoonsgegevens bij verwerkt worden, maar ook om de FG te informeren als de AP contact opneemt met de organisatie. De FG neemt een centrale positie in, in het contact tussen de AP en de organisatie. De AP zal de FG daarom altijd een afschrift sturen van de communicatie, maar de organisatie zelf heeft ook (altijd) een informatieplicht. Gaat het echter om een formeel onderzoek? Dan deelt de AP hier vanzelfsprekend geen informatie over met de organisatie of de FG, die invloed kan hebben op het onderzoek. Dit is ook bedoeld om de onafhankelijke positie van de FG in de organisatie te waarborgen. De AP en de FG kunnen wel contact houden over het procesverloop, maar niet over de verwerking in kwestie.

Twijfels over bevoegdheden of rollen?

Hoewel de uitgangspunten van de AP het een en ander verduidelijken, blijft het aanpakken van praktische zaken natuurlijk altijd maatwerk. Mocht je vragen hebben over hoe je je functie als FG het beste kunt vervullen? Heeft je organisatie een FG nodig? Of kan je FG juridische ondersteuning gebruiken? Neem dan vrijblijvend contact met ons op.

Terug naar overzicht