www.businesscc.nl

FG | Functionaris Gegevensbescherming

Privacy | Profilering | Ondersteuning

Wat is een FG?

FG staat voor Functionaris Gegevensbescherming. Een FG (of in het engels ‘DPO’: data protection officer) is een onafhankelijke deskundige op het gebied van gegevensbescherming die binnen een organisatie (of een aantal organisaties) wordt aangewezen om te adviseren, informeren en toezicht te houden op de naleving van de AVG.

Organisaties zijn in bepaalde situaties verplicht een functionaris gegevensbescherming (FG) aan te stellen. Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de Algemene verordening gegevensbescherming (AVG).

Hoofdtaken

De FG moet alles tot op de puntjes toe over gegevensbescherming weten, en zich te allen tijde bewust zijn van de risico’s. De Verordening beschrijft de belangrijkste taken van de FG in Afdeling 4, waaronder:

  • De verwerkingsverantwoordelijke of de verwerker en werknemers informeren van en adviseren over hun verplichtingen opgelegd door de Verordening en andere gegevensbeschermingsbepalingen;
  • Toezicht houden op de naleving van de Verordening en andere gegevensbeschermingsbepalingen, waarbij het beleid van de verwerkingsverantwoordelijke of de verwerker in relatie tot de bescherming van persoonsgegevens in de gaten wordt gehouden. Hiertoe behoren de toewijzing van verantwoordelijkheden, bewustmaking en het opleiden van personeel dat betrokken is bij verwerkingsactiviteiten, en de bijbehorende audits;
  • Advies geven met betrekking tot de gegevensbeschermingseffectbeoordeling en controleren dat de prestaties ervan overeen stemmen met Artikel 35;
  • Samenwerken met de toezichthoudende autoriteit; en
  • Optreden als contactpersoon voor de toezichthoudende autoriteit over eventuele problemen in verband met de verwerking.

Hoewel een FG ook andere taken kan uitvoeren, moet hij betrokken worden bij alle kwesties die verband houden met de bescherming van persoonsgegevens. Zorg ervoor dat de FG zijn functies altijd onafhankelijk uitoefent en rapporteert aan het hoogste managementniveau binnen een organisatie. Om deze reden kan een FG bijvoorbeeld geen IT- of directeur van Informatiebeveiliging zijn.

Voordelen van een FG voor uw organisatie

Het hebben van een FG kan veel meer zijn dan alleen een adviseur of toezichthouder. Denk hierbij aan de toegevoegde waarde die een FG kan hebben binnen uw/een organisatie;

  • een FG creëert door zijn verbindende rol synergie tussen afdelingen
  • door het hebben van een FG schept u vertrouwen bij uw klanten en toeleveranciers
  • een FG kan boetes en/of fouten voorkomen wat u onnodige (hoge) kosten bespaart
  • door het hebben van een FG realiseert u een hogere mate integriteit binnen uw organisatie

Op grond van artikel 37 van de Algemene verordening gegevensbescherming (AVG) is een FG in onderstaande situaties verplicht.

Overheden en publieke organisaties

Ten eerste zijn overheidsinstanties en publieke organisaties altijd verplicht om een FG aan te stellen, ongeacht het type gegevens dat ze verwerken. Het kan gaan om de rijksoverheid, gemeenten en provincies, maar ook om bijvoorbeeld zorg- en onderwijsinstellingen. Voor rechtbanken geldt de verplichte aanstelling van een FG niet.

Op grote schaal

Ten tweede geldt de verplichting om een FG aan te stellen voor organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen of diens activiteiten in kaart brengen. Het kan hierbij gaan om bijvoorbeeld profilering van mensen voor het maken van risico-inschattingen, cameratoezicht, personeelsvolgsystemen en monitoring van iemands gezondheid via wearables.

Relevant hierbij zijn onder meer het aantal mensen dat een organisatie volgt, de hoeveelheid gegevens die deze organisatie verwerkt en hoe lang de organisatie mensen volgt.

Bijzondere persoonsgegevens

Ten derde zijn organisaties verplicht een FG te benoemen als ze op grote schaal bijzondere persoonsgegevens verwerken en dit een kernactiviteitis. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid, ras, politieke opvatting of geloofsovertuiging.

Andere situaties

De verplichting geldt ook wanneer een organisatie strafrechtelijke persoonsgegevens verwerkt. Daarnaast kunnen EU-lidstaten andere situaties benoemen waarin een FG verplicht is. Het is nog niet bekend of dit in Nederland gaat gebeuren.

Wanneer onduidelijk is of u verplicht bent om een FG aan te stellen, moet u goed kunnen onderbouwen waarom u ervoor gekozen heeft om dat wel of niet te doen.