Overzicht
Actueel
15 May 2018
De AVG en de Functionaris voor de gegevensbescherming (FG)

Als organisatie ben je als onderdeel van de AVG mogelijk verplicht om een Functionaris voor de gegevensbescherming (FG) aan te stellen. De functie moet bovendien bij de Autoriteit Persoonsgegevens aangemeld worden.

In de maand van de invoering van de Algemene verordening gegevensbescherming (AVG) op 25 mei aanstaande zijn er nog altijd veel vragen over de praktische implicaties voor organisaties. In een aantal blogs lichten we daarom diverse specifieke onderdelen van de wetgeving uit. In de vorige editie keken we naar het register van verwerkingsactiviteiten, onderdeel van de verantwoordingsplicht van de wetgeving. In deze blog gaan we nader in op de Functionaris voor de gegevensbescherming (FG).

Functionaris voor de gegevensbescherming (FG): wat is het?

De AVG biedt een gemoderniseerd, op verantwoording gebaseerd kader voor de naleving van regels inzake gegevensbescherming in Europa. Functionarissen voor gegevensbescherming zullen in dat nieuwe juridische kader voor veel organisaties centraal staan om naleving van de bepalingen mogelijk te maken. Met andere woorden, een FG is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de privacywetgeving.

Het concept FG is niet nieuw. Hoewel de Wbp het als huidige wetgeving (lees: tot 25 mei 2018) geen enkele organisatie verplicht om een functionaris voor gegevensbescherming aan te stellen, is het de voorbije jaren in verschillende lidstaten van de EU toch de gewoonte geworden om een functionaris voor gegevensbescherming aan te stellen. De functie wordt gezien als de hoeksteen van de verantwoording, waarbij het aanstellen van een FG naleving van privacywetgeving kan vereenvoudigen en bovendien een concurrentievoordeel voor bedrijven kan vormen, vanuit het idee dat privacy dé business case is van nu.

Wanneer zijn organisaties verplicht om een FG aan te stellen?

Vanuit de AVG zijn bepaalde organisaties wel verplicht om een FG aan te duiden. Om concreet de letter van de wet (artikel 37, lid 1 van de AVG) aan te halen, is de aanwijzing van een functionaris voor gegevensbescherming verplicht:

a) wanneer de verwerking door een overheidsinstantie of overheidsorgaan wordt verricht;
b) wanneer de kerntaken van de verwerkingsverantwoordelijke of de verwerker bestaan uit verwerkingen die regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen;
c) wanneer de kerntaken van de verwerkingsverantwoordelijke of de verwerker bestaan uit verwerking op grote schaal van speciale categorieën van gegevens of van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten.

De verplichting geldt daarmee ten eerste voor alle overheidsinstanties en publieke organisaties. Naast de rijksoverheid, provincies en gemeenten zijn dat dus ook zorg- en onderwijsinstellingen.

Daarnaast zijn organisaties die op grote schaal mensen volgen of profileren verplicht om een FG aan te stellen. Denk aan verzekeraars en beveiligingsbedrijven.

Tot slot maakt verwerking van bijzondere persoonsgegevens het verplicht om een FG te benoemen. Dat zijn bijvoorbeeld gegevens over gezondheid, ras, geloofsovertuiging of strafrechtelijk verleden.

Vrijwillig een FG aanstellen

Ook wanneer een organisatie niet aan één of meer van de drie voorwaarden voldoet en een FG dus niet specifiek verplicht is, kan het mogelijk wel interessant zijn om op vrijwillige basis een functionaris voor gegevensbescherming aan te wijzen. De Groep Gegevensbescherming, een onafhankelijk Europees adviesorgaan inzake gegevensbescherming en privacy dat onder meer belast is met de richtlijnen voor de FG, moedigt dat zelfs aan. Bijvoorbeeld voor bedrijven die overheidstaken uitvoeren zoals energiebedrijven, woningcorporaties en openbaarvervoerbedrijven.

Voor de vrijwillig aangestelde FG gelden dezelfde regels als voor de verplichte FG, als het gaat om het takenpakket en de professionaliteit van de functie.

FG online aanmelden bij de Autoriteit Persoonsgegevens

Alle organisaties die verplicht zijn om een FG aan te stellen, zijn verplicht om die functionaris aan te melden bij de AP. Alleen aanmelding via het nieuwe webformulier, het online aanmeldingsformulier functionaris voor de gegevensbescherming (FG), op de website van de AP is geldig. Organisaties die hun FG al eerder op andere wijze hebben aangemeld, moeten dat opnieuw doen. FG-aanmeldingen die niet via het online aanmeldingsformulier zijn gedaan, komen na 25 mei 2018 te vervallen. Ook een vrijwillig aangestelde FG moet bij de AP aangemeld worden.

De formele richtlijnen voor de Functionaris voor de gegevensbescherming zijn opgesteld door de eerdergenoemde Groep Gegevensbescherming en te vinden via deze link (PDF).

Wil je meer weten over onze visie of aanpak, of benieuwd naar andere informatie? Neem dan contact op met Arthur Timmerman
Neem contact op
Is jouw organisatie klaar voor de AVG?

Awareways heeft een breed programma met e-learnings gefocust op de gebruikers; de medewerkers die uiteindelijk de keuze maken wat ze wel of niet met privacygevoelige informatie doen. Binnen dat aanbod van online trainingen is er specifiek voor de nieuwe privacywetgeving ook een AVG-module, volledig op maat in te richten, om ervoor te zorgen dat het kennisniveau van alle medewerkers op het juiste niveau ligt om aan de regels en verantwoordelijkheden te voldoen.

Daarnaast heeft Awareways de Mobile Escape Room gelanceerd: de eerste escape room in Nederland waar je de beginselen van security en privacy in een real life spel ervaart. Dé manier om de AVG op een educatieve en inspirerende wijze op te pakken. De mobiele oplossing is bovendien ideaal voor trainingen op kantoor. Kijk voor meer informatie op awareways.com/escaperoom of neem contact op met Arthur Timmerman via arthur@awareways.com.

Kijk ook eens naar

Praktijkvoorbeelden
Een overzicht van onze praktijkvoorbeelden.
Security Awareness Engine
De spil in jouw security awareness programma.
Nulmeting
Awareness in cijfers het kan echt.