De Functionaris Gegevensbescherming (FG)

De Functionaris Gegevensbescherming is een natuurlijk persoon die waakt over de verwerking van persoonsgegevens binnen de organisatie waarin hij werkzaam is. De FG doet dit in samenwerking met de Privacy Officers (PO) die aanwezig zijn in de gehele organisatie. De PO moet de FG in kennis stellen van elke verwerking die betrekking heeft op gevoelige persoonsgegevens of die andere bijzondere risico’s kan inhouden. De FG onderzoekt deze verwerking dan in het licht van de gegevensbeschermingsverordening en brengt een advies na voorafgaande controle uit. In de meeste gevallen leidt dit tot een reeks aanbevelingen die de instelling of het orgaan moet naleven om te voldoen aan de regels voor gegevensbescherming.

De toezichthoudende functie van de FG omvat ook het onderzoeken van klachten die worden ingediend door personeelsleden of door andere personen die vinden dat hun persoonsgegevens verkeerd behandeld zijn door de organisatie. Zulke klachten hebben onder andere betrekking op vermeende inbreuken op de vertrouwelijkheid, de toegang tot gegevens, het recht op correctie, het wissen van gegevens en het overdadig verzamelen of onrechtmatig gebruiken van gegevens door de voor de verwerking verantwoordelijke.

In zijn adviserende en onafhankelijke functie verstrekt de FG (in Gemeenteland) aan het MT, de directie en het College adviezen over gegevens-beschermingsvraagstukken op allerlei beleidsgebieden. De FG werkt nauw samen met FG’s van andere overheidsorganisaties (waaronder de Autoriteit Persoonsgegevens) om op die manier o.a. zijn kennis op peil te brengen en te houden.

De taken van een FG kunnen onder meer zijn:

  • informeren en adviseren over de verplichtingen omtrent gegevensbescherming van de verwerker of verwerkingsverantwoordelijke van persoonsgegevens;
  • toezicht houden op de naleving van de AVG en andere wet- en regelgeving omtrent gegevensbescherming;
  • toewijzen van verantwoordelijkheden, bewustmaking en opleiding van personeel dat persoonsgegevens verwerkt;
  • geven van advies m.b.t. een gegevens bescherming effect beoordeling (DPIA);
  • samenwerken/communiceren met de Autoriteit Persoonsgegevens.

De vereiste expertise en vaardigheden omvatten in ieder geval:

  • kennis van nationale en Europese privacywet- en regelgeving over gegevensbescherming;
  • begrip van de gegevensverwerkingen die de organisatie uitvoert;
  • begrip van IT en informatiebeveiliging;
  • kennis van de organisatie en de sector waarin die actief is;
  • vaardigheden om binnen de organisatie een cultuur van gegevensbescherming te ontwikkelen.

Van een Functionaris Gegevensbescherming wordt verwacht dat hij of zij voldoende vakkennis heeft van privacy-wetgeving en van de praktijk van gegevensbescherming.

Organisaties zijn in bepaalde situaties verplicht een Functionaris Gegevensbescherming (FG) als functie aan te stellen. Let op: het is hier een functie en géén rol. De FG is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de Algemene verordening gegevensbescherming (AVG).

Op grond van artikel 37 van de AVG/ISO27701 is een FG in onderstaande situaties verplicht:

Overheden en publieke organisaties

Overheidsinstanties en publieke organisaties zijn altijd verplicht om een FG aan te stellen, ongeacht het type gegevens dat ze verwerken. Het kan gaan om de rijksoverheid, gemeenten en provincies, maar ook om bijvoorbeeld zorg- en onderwijsinstellingen. Voor rechtbanken geldt de verplichte aanstelling van een FG niet.

Observatie

Organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen of dienst activiteiten in kaart brengen zijn verplicht om een FG aan te stellen. Het kan hierbij gaan om bijvoorbeeld profilering van mensen voor het maken van risico-inschattingen, cameratoezicht, personeelsvolgsystemen en monitoring van iemands gezondheid via wearables.

Bijzondere persoonsgegevens

Organisaties die op grote schaal en als kernactiviteit bijzondere persoonsgegevens verwerken zijn verplicht een FG te benoemen. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden.

Een FG adviseert de organisatie over privacy en houdt toezicht daarop, handelt vragen en klachten over privacy af, ontwikkelt (interne) regelingen rondom privacy en geeft advies over technologie en beveiliging (privacy by design). De organisatie is wettelijk verplicht om de FG daarvoor controlebevoegdheden te geven en zo moet hij bevoegd zijn om bijvoorbeeld ruimtes te betreden, zaken te onderzoeken en inrichten en inzage te vragen. Hij heeft geen formele sanctiebevoegdheden en zijn bevoegdheden zijn niet te vergelijken met die van de Autoriteit Persoonsgegevens (AP). De FG moet daarbij gezien worden als een schakel tussen de organisatie en de AP. Is een FG aangesteld, dan kan de organisatie de verwerkingen bij de FG melden in plaats van bij de Autoriteit Persoonsgegevens.

De FG zou ook andere taken kunnen uitvoeren. Daarbij moet wel zorg gedragen worden dat deze taken of plichten niet tot een belangenconflict leiden. Zo kan een FG dus niet ook een CISO of ISO zijn.

Indien de FG rapporteert over taken gebeurt dit rechtstreeks aan het management / de directie van de organisatie. De FG mag niet ontslagen of gesanctioneerd worden als gevolg van de uitoefening van zijn taken volgend uit de AVG. Een FG is ook niet persoonlijk verantwoordelijk als de AVG niet nageleefd wordt. Dit blijft de verantwoordelijkheid van de verwerkingsverantwoordelijke, de verwerker en de directie.

Indien noodzakelijk kan QCN u helpen met een tijdelijke CISO, SO, FG of PO.

Meer informatie aanvragen

Wilt u weten waar Quality Centre Nederland u of uw bedrijf mee van dienst kan zijn of wilt u meer informatie over onze diensten, werkwijze en methoden aanvragen? Neem dan contact met ons op, wij staan u graag te woord.