In de afgelopen periode kregen we regelmatig de vraag of een functionaris gegevensbescherming (FG) verplicht is en hoe je invulling geeft aan deze functie/rol. Daarnaast doet de Autoriteit Persoonsgegevens (AP) momenteel onderzoek bij woningcorporaties naar het wel of niet hebben van een FG . Vooralsnog lijkt hier op basis van de AVG geen verplichting toe te zijn. Indien je er één (vrijwillig) aanstelt, dan moet je aan de gestelde eisen voldoen. We leggen de rol van de Functionaris gegevensbescherming hieronder kort uit.
De FG is een relatief nieuwe functie in Nederland. Een FG houdt binnen een organisatie toezicht op de toepassing en naleving van de privacywetgeving. In Nederland zijn er nu ongeveer 10.000 FG’s. Zij hebben een onafhankelijke functie. Voor sommige organisaties is het verplicht een FG aan te stellen en die aan te melden bij de Autoriteit Persoonsgegevens (AP).
De FG begeleidt de organisatie met deskundig en onafhankelijk advies & richtlijnen waar het gaat om het verwerken van persoonsgegevens volgen AVG-wetgeving, maar ziet ook toe op e-privacyrichtlijnen en allerlei specifieke nationale regels, in de rol van officiële toezichthouder. De verwerking van persoonsgegevens moet sinds de intrede van de wet op 25 mei 2018 voldoen aan de Algemene Verordening Gegevensverwerking. (bron: website AP)
Wanneer ben je dan verplicht volgens de AP om een FG aan te stellen?
Dit wordt helder omschreven op de website van de AP en is kort samen te vatten in het volgende:
• Overheidsinstanties en publieke organisaties. Voor deze organisaties is dit altijd verplicht.
• Organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen of hun activiteiten in kaart brengen.
• Organisaties die op grote schaal bijzondere persoonsgegevens verwerken en waarvan dit een kernactiviteit is.
• Organisaties die strafrechtelijke persoonsgegevens verwerken.
De website van de AP geeft uiteraard nog een uitgebreidere uitleg van de punten hierboven. We geven hieronder onze uitleg over de aanstelling en de rol van een FG.
Wel versus Niet
Naast de vraag; is een FG voor ons verplicht (AVG; art. 37 lid 1)? Brengt het aanstellen van een FG ook verplichtingen met zich mee en is dus niet vrijblijvend.
Is het voor de organisatie niet verplicht, dan nog moet de volledige compliance aan de AVG door de organisatie geregeld worden om AVG-vereisten goed te borgen. Daar is het management voor verantwoordelijk. Dit valt in de AVG onder compliance; de aantoonbaarheid van voldoen aan de AVG ook bij het (hoogste)management.
Wat houdt het aanstellen van een FG voor de organisatie in?
De FG wordt als interne toezichthouder met een onafhankelijke rol aangesteld. Dit kan een eigen interne medewerker zijn, maar ook een externe (inhuur). Vanuit onze ervaring, maak goede afspraken en leg deze vast om onder andere de: onafhankelijkheid, vertrouwelijkheid en de geheimhouding te borgen. Daarnaast om wederzijdse verwachtingen helder te hebben en gelijk goed te managen.
De FG mag binnen de organisatie ook een andere functie bekleden en/of taken uitvoeren. Er worden echter wel eisen en voorwaarden gesteld, om de onafhankelijkheid niet in het geding te laten komen door belangenverstrengeling. De contactgegevens van de (aangestelde) FG worden zowel met de AP gedeeld als gepubliceerd voor betrokkenen. De FG moet rechtstreeks benaderbaar zijn en gaat vertrouwelijk met de informatie en klachten om.
De FG houdt intern toezicht , informeert, adviseert en levert een bijdrage aan de bewustwording. De FG krijgt geen instructies over de uitvoering van zijn/haar taken. De verwerkingsverantwoordelijke (het management) is ervoor verantwoordelijk dat de FG naar behoren zijn/haar werk kan doen, bijvoorbeeld door het zorgen voor beschikbare tijd voor het uitvoeren van de taken. Dit is afhankelijk van:
*de grootte van de organisatie
* de mate van de volwassenheid van de organisatie
* de inbedding van de verschillende uit de AVG voorkomende taken binnen de organisatie. Daarnaast speelt de gevoeligheid van de processen waarin persoonsgegevens verwerkt worden een rol.
Van de FG mag verwacht worden dat hij/zij kennis heeft van de bovengenoemde processen. Er zijn inmiddels rekenmodellen in de markt, om tot een capaciteit inschatting in uren te komen. Ga bij voorkeur hierover in gesprek met de verantwoordelijke.
Zoals aangegeven houdt de FG intern toezicht op de naleving van de AVG. De FG wordt door het (hogere) management tijdig en naar behoren betrokken bij alle aangelegenheden betreffende gegevensbescherming. Hier ligt ook de ‘verbinding’ met informatiebeveiliging. Samenwerking en afstemming met de CISO/SO is noodzakelijk.
Kortom; onderschat de functie of deze rol niet. Stel je een FG aan, voldoe dan ook aan de vereisten conform AVG en/of door de AP aangegeven. Bij gebrek aan of het ontbreken van voldoende tijd, capaciteit, kennis en expertise, brengt dit het risico met zich mee dat er niet voldaan wordt aan de AVG (non-compliance). Dit kan ertoe leiden dat de AP de organisatie onderwerpt aan een onderzoek. Daaruit zou een boete van de AP kunnen voortvloeien. Daarnaast wordt de betrouwbaarheid van de organisatie aangetast, maar ook de geloofwaardigheid van de organisatie kan hierdoor in het geding komen. Wat weer kan leiden tot imago-schade en/of aansprakelijkheid voor schade bij betrokkenen, bijvoorbeeld vanwege een datalek.
Wil je sparren of deze rol en/of twijfel je erover een FG aan te (moeten) stellen, neem gerust contact met ons op. Ook bieden wij diensten aan op het (IB&P) vlak en kunnen onze consultants in de functie van (externe) FG of PO bij jou aan de slag gaan.
Tekst: Erik van den Beld en Rob Toebes
