Kompas voor het management, slijpsteen voor de geest

 

Overheden en publieke organisaties
Overheidsinstanties en publieke organisaties zijn altijd verplicht om een FG aan te stellen, ongeacht het type gegevens dat ze verwerken. Het kan gaan om de rijksoverheid, gemeenten en provincies, maar ook om bijvoorbeeld zorg- en onderwijsinstellingen. De FG dient als functie te worden aangesteld en NIET als rol. Voor rechtbanken geldt de verplichte aanstelling van een FG niet.

Observatie
De verplichting om een FG aan te stellen geldt voor organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen (bijvoorbeeld Decentrale en Centrale Overheden). Het kan hierbij gaan om bijvoorbeeld profilering van mensen voor het maken van risico-inschattingen, cameratoezicht en monitoring van iemands gezondheid via wearables.
Relevant hierbij zijn onder meer het aantal mensen dat een organisatie volgt, de hoeveelheid gegevens die deze organisatie verwerkt en hoe lang de organisatie mensen volgt. 

Bijzondere persoonsgegevens
Organisaties verplicht een FG te benoemen als ze op grote schaal bijzondere persoonsgegevens verwerken en dit een kernactiviteit is. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden.

Als kerntaak van de FG bij het vervullen van zijn toezichthoudende functie waakt hij over de verwerking van persoonsgegevens binnen de organisatie waarin hij werkzaam is. De FG doet dit in samenwerking met de Privacy Officers (PO) die aanwezig zijn in de gehele organisatie. De PO moet de FG in kennis stellen van elke verwerking die betrekking heeft op gevoelige persoonsgegevens of die andere bijzondere risico’s kan inhouden. De FG onderzoekt deze verwerking dan in het licht van de gegevensbeschermingsverordening en brengt een advies na voorafgaande controle uit. In de meeste gevallen leidt dit tot een reeks aanbevelingen die de instelling of het orgaan moet naleven om te voldoen aan de regels voor gegevensbescherming.

De toezichthoudende functie van de FG omvat ook het onderzoeken van klachten die worden ingediend door collega personeelsleden of door andere personen die vinden dat hun persoonsgegevens verkeerd behandeld zijn door de organisatie. Zulke klachten hebben onder andere betrekking op vermeende inbreuken op de vertrouwelijkheid, de toegang tot gegevens, het recht op correctie, het wissen van gegevens en het overdadig verzamelen of onrechtmatig gebruiken van gegevens door de voor de verwerking verantwoordelijke.

In zijn adviserende functie verstrekt de FG (in Gemeenteland) aan het MT, de directie en het College adviezen over gegevens-beschermingsvraagstukken op allerlei beleidsgebieden. De FG werkt nauw samen met andere FG’s van andere overheidsorganisaties om op die manier o.a. zijn kennis op peil te houden.

Taken
De werkzaamheden van een FG kunnen onder meer zijn:

  • toezicht houden;
  • inventarisaties van gegevensverwerkingen maken;
  • meldingen van gegevensverwerkingen bijhouden;
  • vragen en klachten van mensen binnen en buiten de organisatie afhandelen;
  • interne regelingen ontwikkelen;
  • adviseren over technologie en beveiliging (privacy by design);
  • input leveren bij het opstellen of aanpassen van een gedragscode.

FG’s zijn niet persoonlijk verantwoordelijk wanneer de AVG niet nageleefd wordt. De AVG maakt duidelijk dat het de verantwoordelijke of de verwerker is die erop toe dient te zien en moet kunnen aantonen dat de verwerking aan de voorwaarden voldoet (Artikel 24(1)). Naleving van regels op het gebied van gegevensbescherming is de verantwoordelijkheid van de verantwoordelijke of de verwerker.

Daarnaast speelt de verantwoordelijke of de verwerker een cruciale rol in het mogelijk maken van een effectieve uitoefening van de taken van de FG. Het aanwijzen van een FG is een goede eerste stap, maar FG’s dienen ook voldoende autonomie en middelen te hebben om hun taken goed uit te kunnen oefenen. De AVG erkent dat de FG een sleutelfiguur is om ervoor te zorgen dat organisaties voldoen aan het nieuwe wettelijk kader en bevat regels voor zijn aanwijzing, positie en taken. Het doel van deze richtlijnen is het verduidelijken van de relevante voorwaarden van de AVG om verantwoordelijken en verwerkers te helpen aan de wet te voldoen, maar ook om FG’s in hun functie te helpen. De richtlijnen bevatten tevens aanbevelingen (good practices) op basis van in bepaalde EU-lidstaten opgedane ervaring. WP29 houdt toezicht op de invoering van deze richtlijnen en kan deze waar nodig met verdere details aanvullen.

De AVG biedt geen definitie van een ‘overheidsinstantie of -orgaan’. WP29 ziet dit als iets dat op grond van nationale wetgeving bepaald dient te worden. Daarom vallen onder de term ‘overheidsinstanties en -organen’ nationale,  regionale en lokale instanties, maar in de toepasselijke nationale wetgeving valt daaronder doorgaans ook een scala aan publiekrechtelijke instanties. In dergelijke gevallen is het aanwijzen van een FG verplicht.

Overheidstaken mogen worden uitgevoerd en publiek gezag mag worden uitgeoefend door zowel overheidsinstanties of – organen als – uit hoofde van publiek recht of privaatrecht – door andere natuurlijke personen of rechtspersonen, in bijvoorbeeld (in overeenstemming met de nationale regelgeving van een lidstaat) het openbaar vervoer, water – en energievoorziening, infrastructuur, de publieke omroep, huisvesting of disciplinaire instanties voor beschermde beroepen.

In deze gevallen bevinden betrokkenen zich wellicht in vrijwel dezelfde situatie als diegenen wier gegevens door een overheidsinstantie of – orgaan verwerkt worden. Dit houdt met name in dat gegevens mogelijk voor soortgelijke doelen verwerkt worden, mensen in beide gevallen weinig of geen keuze hebben of en hoe hun gegevens worden verwerkt, en daarom wellicht dezelfde aanvullende bescherming nodig hebben die met de aanwijzing van een FG bereikt kan worden.

Melden gegevensverwerking
Een organisatie die persoonsgegevens verwerkt, moet dit melden bij de Autoriteit Persoonsgegevens. Maar is een FG aangesteld, dan kan de organisatie de verwerkingen bij de FG melden in plaats van bij de Autoriteit Persoonsgegevens.

Organisaties kunnen zelf bepalen hoe zij het meldingsproces inrichten, voor zover zij zich daarbij aan de wettelijke regels houden.
Let op: is voor een gegevensverwerking een zogeheten voorafgaand onderzoek nodig? Dan moet de organisatie de verwerking wél bij de Autoriteit Persoonsgegevens melden.

Eisen aan FGThe privacy watchdog
 De wet stelt een aantal eisen aan FG’s:

  • Een FG moet een natuurlijk persoon zijn. Een ondernemingsraad of commissie komt dus niet in aanmerking.
  • Een FG moet voldoende kennis hebben van de organisatie en de privacywetgeving.
  • Een FG moet betrouwbaar zijn. Dit uit zich onder meer in een geheimhoudingsplicht.

Bevoegdheden FG
Een FG heeft geen formele sanctiebevoegdheden. Maar de organisatie is wel wettelijk verplicht om de FG controlebevoegdheden te geven. Zo moet een FG bevoegd zijn om ruimtes te betreden, zaken te onderzoeken en inlichtingen en inzage te vragen. De FG moet in onafhankelijkheid zijn werkzaamheden kunnen verrichten binnen een organisatie en verantwoording afleggen aan de Directie.
Een FG heeft dezelfde ontslagbescherming als leden van een ondernemingsraad. Dit betekent dat hij pas ontslagen kan worden na toestemming van de kantonrechter.

De meldplicht data lekken: Daarnaast dienen organisaties het lekken dan gegevens/data te voorkomen en bij het lekken dit melden. Zowel private als publieke organisaties die persoonsgegevens verwerken worden met ingang van 1 januari 2016 verplicht om inbreuken op de beveiliging te melden die leiden tot bijvoorbeeld diefstal, verlies of misbruik van persoonsgegevens. Dat zijn dus meer organisaties dan de aanbieders van elektronische communicatienetwerken en -diensten voor wie op grond van de Telecommunicatiewet reeds een meldplicht geldt bij diefstal, verlies of misbruik van persoonsgegevens van abonnee of gebruiker. Het doel van de meldplicht is om tot een betere bescherming van persoonsgegevens te komen. Het inwerkingtredingsbesluit van de Wet meldplicht datalekken en uitbreiding boetebevoegdheid is op 10 juli van dit jaar in het Staatsblad gepubliceerd. Ook hier zijn taken weggelegd voor de Privacy Officer en de CISO.