Vier vragen over de (rol van de) Functionaris Gegevensbescherming (“FG”)

02 mrt '22

Auteur(s): Lars Boer, Nina Witt,

Wanneer moet u een Functionaris Gegevensbescherming (“FG”) aanstellen en wat is de rol van de FG binnen de organisatie?

Op grond van de Algemene verordening gegevensbescherming (“AVG”) kan het zo zijn dat uw organisatie verplicht is een FG aan te stellen. Deze dient een bepaalde deskundigheid te hebben en een onafhankelijke positie binnen de organisatie. Omdat wij merken dat over de rol van de FG bij diverse organisaties vragen spelen, beantwoorden wij – in navolging van ons eerdere blog hierover – vier veelvoorkomende vragen uit de praktijk.

Wat is een FG en welke taken heeft de FG?

De term “Functionaris Gegevensbescherming” wordt, in tegenstelling tot veel andere kernbegrippen van de AVG, niet gedefinieerd in artikel 4 van de AVG. Een definitie is wel te vinden op de website van de Autoriteit Persoonsgegevens (“AP”). De taak van de FG is ‘het toezicht houden op de toepassing en naleving van de AVG binnen de organisatie’.

De AVG geeft wel nadere informatie over wanneer en hoe een FG dient te worden aangesteld (artikel 37 AVG), de positie van de FG (artikel 38 AVG) en de taken die de FG dient uit te voeren in het kader van het toezicht dat zij uitvoert op de toepassing en naleving van de AVG (artikel 39 AVG). In ons eerdere blog schreven wij al een en ander over de taken van de FG en de organisatorische eisen aan deze positie. De AP heeft nog niet zo lang geleden ook een factsheet online gezet, waarin meer informatie staat over hoe zij de rol van de FG binnen de organisatie (en in verhouding tot het bestuur ervan) ziet. Het is interessant om deze factsheet te lezen. Dit biedt handvatten om de positie van de FG binnen uw organisatie goed in te richten en hierin wordt bijvoorbeeld ook verduidelijkt welke rol de FG kan vervullen in de contacten met de AP.

Wanneer stel ik een FG aan?

Zoals in voornoemd blog uit 2017 al viel te lezen, zijn er een aantal situaties waarin het aanstellen van een FG verplicht is. Wanneer een situatie waarin het aanstellen van een FG verplicht is zich voordoet, verdient wat nadere toelichting omdat de begrippen waarmee die situaties worden omschreven (hieronder dikgedrukt) soms lastig te interpreteren zijn. Hieronder geven wij een korte toelichting, met betrekking tot de situaties waarin een FG is vereist:

  1. U bent een overheidsinstantie of een overheidsorgaan (met uitzondering van de rechterlijke macht). Het gaat hierbij bijvoorbeeld om gemeenten, maar ook zorg- en onderwijsinstellingen;
  2. U verwerkt persoonsgegevens op een manier die regelmatige en stelselmatige observatie van betrokkenen op grote schaal vereist vanuit uw kernactiviteit. Hierbij kan onder andere gedacht worden aan de inzet van cameratoezicht, het monitoren van de gezondheid van betrokkenen via wearables of het gebruik van een personeelsvolgsysteem;
  3. U verwerkt vanuit uw kernactiviteit op grote schaal bijzondere persoonsgegevens (als genoemd in artikel 9 AVG, zoals gezondheidsgegevens) of strafrechtelijke persoonsgegevens.

Onder de kernactiviteit van een organisatie vallen de processen die essentieel zijn om de doelen van de organisatie te bereiken of die tot de hoofdtaken van de organisatie behoren. Voor de beoordeling of er sprake is van een verwerking op grote schaal kijkt de AP naar het aantal betrokkenen, de hoeveelheid verwerkte gegevens, de duur van de verwerkingsactiviteiten en het geografische gebied dat de verwerking beslaat. Met regelmatige en stelselmatige observatie wordt bedoeld dat een handeling doorlopend plaatsvindt of steeds terugkeert op bepaalde ogenblikken gedurende een bepaalde periode) en dat gebeurt volgens een systeem dat vooraf geregeld, georganiseerd of methodisch is in het kader van een algemeen programma voor gegevensverzameling in het kader van de strategie van uw organisatie.

Naast de hierboven genoemde situaties, geeft de AVG EU-lidstaten overigens de mogelijkheid om ook andere situaties aan te wijzen waarin een FG verplicht is. Nederland heeft hiervan tot nu toe geen gebruik gemaakt.

Wanneer u niet verplicht bent om een FG aan te stellen, is het natuurlijk wel handig om een FG of in ieder geval een privacy officer aan te wijzen. Let er wel op dat wanneer de titel “FG” wordt gevoerd de eisen gelden die de AVG aan de verplichte FG stelt. Voldoet de aangestelde FG niet aan die eisen, dan moet een andere titel gebruikt worden om verwarring over de functie, positie en taken te voorkomen (zoals privacy officer). Leg wel vast waarom u meent geen FG aan te hoeven stellen (bijvoorbeeld in uw interne privacybeleid).

Wanneer uw organisatie onderdeel is van een groep of concern, is het ook mogelijk om gezamenlijk met de groep één FG te benoemen. Hieraan wordt dan wel de eis gesteld dat de FG goed bereikbaar is vanuit elke afdeling en vestiging van de groep en daadwerkelijk in staat is om de eisen die aan een FG worden gesteld te vervullen.

Wat moet de FG allemaal kunnen?

Een FG moet beschikken over diverse kwaliteiten en deskundigheid op het gebied van de wetgeving en de praktijk met betrekking tot de bescherming van persoonsgegevens. Concreet dient de FG te beschikken over kennis van nationale en Europese privacywet- en regelgeving, begrip te hebben van de gegevensverwerking die de organisatie uitvoert en van IT- en informatiebeveiliging, kennis te hebben van de organisatie en de sector waarin die actief is en voorts dient deze te beschikken over de vaardigheden om binnen de organisatie een cultuur van gegevensbescherming te ontwikkelen. In 2017 gaven wij al aan dat dit een uitdaging kan zijn. Let op: in voornoemde factsheet van de AP is ook verduidelijkt dat de FG niet tegelijkertijd een functie kan vervullen waarin hij operationele verantwoordelijkheid draagt voor gegevensverwerkingen. Het ‘hoofd IT of HR’ kan dus in beginsel niet ook de FG zijn.

Het niveau van deskundigheid kan wel afhankelijk zijn van de verwerkingsactiviteiten die uw organisatie uitvoert. Wanneer uw organisatie bijvoorbeeld (veel) gevoelige persoonsgegevens, zoals gezondheidsgegevens of financiële gegevens, verwerkt of naarmate uw organisatie op grotere schaal persoonsgegevens verwerkt, dient de FG over meer kwaliteiten en deskundigheid te beschikken.

Tot slot is het van belang om uw FG bij de AP aan te melden. Deze aanmelding kan worden gedaan middels een formulier dat verkrijgbaar is via de website van de AP. Mocht u nog een FG hebben aangemeld vóór de inwerkingtreding van de AVG op 25 mei 2018, let er dan op dat u deze opnieuw moet aanmelden.

Tot slot

In de praktijk kan de beoordeling van de verplichting tot het aanstellen van een FG lastig zijn of bestaan onduidelijkheden over de eisen waaraan deze moet voldoen. Ook krijgen wij vragen over wat de rol van de FG is in een onderzoek van de Autoriteit Persoonsgegevens.

Neem bij dit soort vragen gerust contact op met één van de gespecialiseerde advocaten uit ons privacy team. U kunt ook altijd even mailen naar privacy@ploum.nl, dan nemen wij spoedig contact met u op.

Contact

Advocaat

Lars Boer

Expertises:  IT-recht,Privacyrecht,Aanbestedingsrecht, Technologie, media en telecom, Commerciële contracten,

Advocaat

Nina Witt

Expertises:  IT-recht,Privacyrecht,Intellectuele Eigendom, Food,Zorg, E-health,E-commerce,

Deel dit artikel

Reageer op dit artikel

Wilt u reageren op dit artikel? Inloggen of maak een Mijn Ploum account aan om uw reactie te plaatsen


Blijf op de hoogte

Voeg deze interesses toe aan Mijn Ploum.

Expertise(s)

Onderwerp(en)

Auteur(s)

Stel direct een vraag

Inschrijven nieuwsbrief

Persoonlijke gegevens

 

Bedrijfsgegevens

Meer informatie over hoe we uw persoonlijke gegevens gebruiken, kunt u lezen in ons Privacy statement. U kunt uw voorkeuren altijd wijzigen via de link ‘Wijzig uw gegevens' of u afmelden via de link ‘Afmelden'. Deze links vindt u onderaan ieder bericht dat u van Ploum ontvangt.

* Verplicht in te vullen velden.

Geïnteresseerd in

Account aanmaken

Haal alles uit Ploum.nl. Binnen een minuut geregeld.

Ik heb al een account

Voordelen Mijn Ploum

  • Volgen wat u interessant vindt
  • Krijg aanbevelingen op basis van uw interesses
  • Snel inschrijven voor kennisevents en Ploum Academy
  • Vraag en antwoord mogelijkheden gebruiken bij artikelen

Account aanmaken

Haal alles uit Ploum.nl. Binnen een minuut geregeld.

*Verplicht in te vullen velden.

Ik heb al een account

Voordelen Mijn Ploum

Volgen wat u interessant vindt

Krijg aanbevelingen op basis van uw interesses

Snel inschrijven voor kennisevents en Ploum Academy

Reacties op artikelen plaatsen


Waarom vragen we uw naam?

We vragen u om uw voor- en achternaam zodat wij die kunnen gebruiken als u zich bijvoorbeeld inschrijft op een Ploum Kennisevent.

Wachtwoord

Er wordt automatisch een wachtwoord voor u aangemaakt. Zodra uw account is aangemaakt ontvangt u dit wachtwoord in een welkomstmail. U kunt er direct mee inloggen. Dit wachtwoord kunt u indien gewenst ook zelf aanpassen via de wachtwoord vergeten functie.