Moet ik een Functionaris voor Gegevensbescherming aanstellen op grond van de AVG?

Categorie
Privacyrecht en persoonsgegevens
laatst geüpdate
Leestijd
6 minuten
Op vrijdag 25 mei 2018, dus over ongeveer 7 maanden, treedt de Europese Algemene Verordening Gegevensbescherming (AVG) in werking en vervangt deze de huidige Wet bescherming persoonsgegevens (Wbp). In het blog van 31 mei 2017 gaven we u 10 tips om uw organisatie klaar te maken voor de Algemene Verordening Gegevensbescherming (AVG). In dit blog ga ik nader in op tip 4: Beoordeel of uw organisatie verplicht is een Functionaris voor Gegevensbescherming aan te stellen.

Onder de werking van de AVG wordt het voor sommige organisaties verplicht een zogenaamde Functionaris voor Gegevensbescherming (FG) aan te stellen. De Engelse term voor een FG is Data Protection Officer, oftewel de DPO.

Voor wie geldt deze verplichting?

Deze verplichting geldt voor Verwerkingsverantwoordelijken én Verwerkers (in de zin van de AVG) die:

  • een overheidsorganisatie of overheidsorgaan zijn; of
  • hoofdzakelijk belast zijn met:
    • regelmatige en stelselmatige grootschalige observatie van personen; of
    • grootschalige verwerking van bijzondere persoonsgegevens of strafrechtelijke persoonsgegevens.

Bijzondere persoonsgegevens zijn gegevens over gezondheid, ras, geloofsovertuiging, seksuele geaardheid , e.d..

Overheidsorganisaties moeten dus altijd een FG aanstellen, ongeacht de taak van deze organisaties.

Bij particuliere organisaties is de aard en omvang van de verwerkingen bepalend. Het invloedrijke adviesorgaan WP29 geeft de volgende voorbeelden:

  • Een ziekenhuis heeft als kerntaak het verlenen van medische zorg. Deze taak kan echter niet naar behoren worden uitgevoerd zonder ook de medische gegevens van de patiënten op te slaan, te combineren met andere medische gegevens, deze te delen binnen het ziekenhuis en met bijvoorbeeld huisartsen, etcetera; met andere woorden: zonder deze bijzondere persoonsgegevens te verwerken. Het verwerken van dergelijke medische gegevens valt daarom ook onder de kerntaken van een ziekenhuis. Een ziekenhuis zal dus een FG moeten aanstellen.
  • Een bedrijf in bouwmaterialen dat zijn buitenterrein beveiligt met behulp van een eigen video-bewakingssysteem houdt zich wel bezig met observatie van personen maar dat is niet zijn kernactiviteit en het is waarschijnlijk ook niet grootschalig. Er hoeft dus geen FG aangesteld te worden.
  • Een beveiligingsbedrijf dat in opdracht van meerdere winkelcentra de publieke ruimtes aldaar surveilleert met behulp van camera’s heeft wel tot kerntaak het observeren van personen en doet dat ook grootschalig. Een dergelijk bedrijf dient een FG aan te stellen. Hetzelfde geldt voor online-marketingbedrijven die ten behoeve van hun klanten het surfgedrag van hun bezoekers bijhouden en analyseren.

Wat is de taak van een FG?

De FG heeft tot taak zijn `baas` te informeren en -gevraagd en ongevraagd- te adviseren over hun verplichtingen uit hoofde van de AVG. Hij moet echter ook toezien op de naleving, hoewel hij zelf geen sancties kan opleggen. Hij is in feite een interne adviseur én toezichthouder. Hij moet daarom ook een onafhankelijke positie hebben. De directie mag dus geen sturing kunnen geven aan zijn taakuitoefening en met name zijn beoordeling van privacy-kwesties.

De FG is verder zowel intern als extern het aanspreekpunt als het gaat over privacy. `Extern` betekent dat betrokkenen (degenen op wie de persoonsgegevens betrekking hebben) maar ook de Autoriteit Persoonsgegevens zich met privacy-kwesties primair tot de FG zullen richten. De FG moet daarom te allen tijde makkelijk te vinden zijn en goed bereikbaar zijn.

De FG heeft ook tot taak samen te werken met de toezichthouder.

In de praktijk zal de FG waarschijnlijk vaak de persoon zijn die het datamappen uitvoert of coördineert en het verwerkingsregister opstelt en bijhoudt (hierop wordt nader ingegaan in de volgende blog.)

Zijn omvangrijke takenpakket betekent niet dat de FG persoonlijk aansprakelijk is als het bedrijf niet aan de AVG voldoet. Het bedrijf is en blijft de verantwoordelijke. Het is ook de verantwoordelijkheid van het bedrijf dat de FG tijdig en naar behoren wordt betrokken bij alle kwestie waarbij bescherming van persoonsgegevens een rol speelt.

Wie kan als FG worden aangesteld?

Alleen natuurlijke personen kunnen als FG worden aangesteld.

Allereerst moet een FG iemand te zijn die deskundig is op zowel het gebied van privacyregelgeving, dataverwerking als beveiliging. Daarnaast moet hij een diepgaande kennis hebben van de organisatie van het bedrijf en alle datastromen en verwerkingen die daar plaatsvinden. Een FG moet ook de faciliteiten krijgen om de benodigde kennis en deskundigheid te verkrijgen en te onderhouden.

Hoe gevoeliger de persoonsgegevens die verwerkt worden en hoe omvangrijker de data en de verwerkingen daarvan, hoe deskundiger een FG zal moeten zijn.

Een FG kan in dienst zijn van het bedrijf of de organisatie maar hij mag geen `tegenstrijdig belang` hebben of het doel en de middelen van gegevensverwerking bepalen. Een positie in bijvoorbeeld het management team is daarom in het algemeen niet te combineren met de functie van FG. Als een FG in dienst is van het bedrijf geniet hij een vergelijkbare bescherming als OR-leden, gechargeerd gezegd: Hij mag niet ontslagen worden om reden dat zijn (kritische) adviezen en mening niet op prijs gesteld worden.

Er kan ook een externe persoon als FG worden aangesteld, op basis van een dienstverleningsovereenkomst. Deze persoon kan ook FG zijn voor meerdere bedrijven of instellingen, zolang hij maar wel in staat is elk van die bedrijven naar behoren te kennen en de processen daarin te doorgronden en bij te houden en voor elk van die bedrijven goed toegankelijk en bereikbaar te zijn.

Formele positie FG

De functie van FG is een formele positie. De naam en contactgegevens van de FG moeten worden doorgegeven aan de Autoriteit Persoonsgegevens. De contactgegevens moeten ook worden vermeld in de privacy statement van een bedrijf.

Vrijwillig FG aanstellen of een privacy officer?

Een bedrijf waarvoor geen verplichting tot het aanstellen van een FG geldt kan er voor kiezen om vrijwillig een FG aan te stellen. Als een bedrijf die keuze maakt gelden alle wettelijke regels betreffende de FG onverkort ook voor dit bedrijf!

Een bedrijf waarvoor geen verplichting tot het aanstellen van een FG geldt kan er ook voor kiezen om een ‘privacy officer’ aan te stellen die niet de formele positie heeft van een FG. Deze persoon wordt dus niet aangemeld bij de Autoriteit Persoonsgegevens als de FG en geniet geen wettelijke bescherming maar voert verder wel voor een groot deel vergelijkbare taken uit.

Let op: In het kader van de verantwoordingsplicht (de accountability) die onder de AVG een grote rol speelt is het voor ieder bedrijf belangrijk en aan te raden één deskundige persoon te belasten met het interne toezicht op en advisering over privacybescherming, een persoon die intern en extern ook goed te vinden en bereikbaar is als aanspreekpunt bij klachten, problemen, vragen, etcetera. 

Vervolg

In het volgende blog in deze reeks blogs over de AVG zal nader worden ingegaan op het verwerkingsregister.

Zie ook:

alle blogs & vlogs