Wat is een FG?
Een Functionaris voor de Gegevensbescherming (FG) is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de Algemene Verordening Gegevensbescherming (AVG). Hoewel een FG geen formele sanctiebevoegdheden heeft, is een organisatie wel verplicht om de FG controlebevoegdheden te geven. Zo moet een FG bevoegd zijn om ruimtes te betreden, zaken te onderzoeken en inlichtingen en inzage te vragen. De FG moet in onafhankelijkheid zijn werkzaamheden kunnen verrichten binnen een organisatie.
Op grond van artikel 37 van de AVG is een FG in drie situaties verplicht:
- De Rijksoverheid, gemeenten en provincies, maar ook zorg- en onderwijsinstellingen zijn altijd verplicht om een FG aan te stellen.
- Organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen. U kunt hierbij denken aan profilering van mensen voor het maken van risico-inschattingen, cameratoezicht en monitoring van iemands gezondheid via wearables. Essentieel hierbij zijn onder meer het aantal mensen dat een organisatie volgt, de hoeveelheid gegevens die deze organisatie verwerkt en hoelang de organisatie mensen volgt.
- In het geval de organisatie overwegend bijzondere gegevens verwerkt en dit een kernactiviteit is. U kunt hierbij denken aan gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijk verleden.
Volgens de wet moet een FG een natuurlijk persoon zijn, voldoende kennis hebben van de organisatie, van informatiebeveiliging en van de privacywetgeving. Ook moet een FG betrouwbaar zijn; dit uit zich onder meer in een geheimhoudingsplicht.
De belangrijkste taken van een FG zijn:
- Informeren en adviseren over de wettelijke verplichtingen bij het verwerken van persoonsgegevens en toezien op de naleving ervan.
- Toezien op een adequate beveiliging van gegevens en adviseren over betrouwbare ICT (privacy by design).
- Organiseren van een (verplichte) Data Protection Impact Assessment (DPIA) vóór het starten met nieuwe verwerkingen van persoonsgegevens, waarbij mogelijke risico’s voor de privacy van betrokkenen worden geïnventariseerd. Voor Nederland is de formele juridische term hiervoor een Gegevensbeschermingseffectbeoordeling (GEB).
- Als aanspreekpunt fungeren voor privacy vragen, zowel intern voor de organisatie zelf als extern voor de betrokkenen waarvan persoonsgegevens verwerkt worden.
- Samenwerken met de Autoriteit Persoonsgegevens (AP).
- Functioneren als (eerste) aanspreekpunt en sparringpartner voor de AP.
De kansen die het aanstellen van een FG biedt, zijn:
- Met het aanstellen van een FG kunt u uw klanten en personeel laten zien dat u hun gegevens echt belangrijk vindt en er zorgvuldig mee omgaat. Immers, u laat uw organisatie onafhankelijk controleren op het toepassen van de juiste maatregelen voor privacybescherming en informatiebeveiliging.
- Voortdurende controle: door het continue toezicht weet u dat u zich aan de AVG houdt en met behulp van de planning welke punten nog openstaan.
- En het einddoel: een solide basis binnen uw organisatie om voor de lange termijn een kostenefficiënte en effectieve beheersing van het privacy- en securityvraagstuk te realiseren.