09 mei '17
In eerdere nieuwsberichten schreven wij al over de Algemene Verordening Gegevensbescherming die op 25 mei 2018 van toepassing wordt. Deze Europese verordening vervangt de huidige Europese privacyrichtlijn (Richtlijn 95/46/EG) en daarmee eveneens de daarop gebaseerde Wet bescherming persoonsgegevens (Wbp). In deze bijdrage gaan wij in op de toekomstige verplichting voor organisaties om (in bepaalde situaties) een Data Protection Officer (DPO) of, in de Nederlandse vertaling, een Functionaris voor de Gegevensbescherming (FG) aan te stellen. Het aanstellen van een FG is geen nieuw fenomeen en vele organisaties hebben de afgelopen jaren al vrijwillig een FG aangesteld, of andere werknemers belast met privacygerelateerd werk. De Artikel 29-werkgroep, het onafhankelijke advies- en overlegorgaan van Europese privacytoezichthouders (WP29), heeft recent (vernieuwde) richtlijnen (inclusief FAQ) gepubliceerd over de FG. In deze richtlijnen verduidelijkt de WP29 wanneer de aanstelling van een FG op grond van de AVG verplicht is, welke positie hij binnen een organisatie inneemt en welke taken hij heeft. Conclusie lijkt dat de rol en positie van bestaande FG’s in veel gevallen niet voldoet aan de toekomstige vereisten van de AVG.
De aanstelling van een FG wordt in de toekomst voor meer organisaties verplicht. Deze verplichting geldt grof gezegd voor:
De WP29 raadt aan om ook in veel andere gevallen vrijwillig een FG aan te stellen, vooral wanneer bedrijven een taak van algemeen nut uitvoeren. Ook wordt aangeraden om vast te leggen waarom een organisatie van mening is dat aanstelling van een FG niet verplicht is.
De AVG stelt een aantal zwaardere eisen aan de positie van de FG en aan de waarborgen die een organisatie moet bieden om de FG zijn taken goed te kunnen laten uitvoeren:
Let op: ook als een organisatie vrijwillig een FG aanstelt, gelden de eisen aan de positie onverkort. Het kan daarom soms verstandig zijn om geen formele FG aan te stellen, maar één of meerdere medewerkers te belasten het privacygerelateerde zaken. In dat geval hoeft niet aan alle organisatorische vereisten te worden voldaan. De betreffende medewerker mag overigens niet de indruk wekken dat hij wel een formele FG is. Daarnaast mag hij zich ook niet presenteren als Data Protection Officer of Privacy Officer.
De FG moet ten minste de volgende taken vervullen:
Het uitgebreide takenpakket impliceert dat de FG van allerlei markten thuis moet zijn. Hij moet zeer deskundig zijn op het gebied van wetgeving en de praktijk inzake gegevensbescherming. Ook zal hij grondige kennis moeten hebben op het gebied van IT, communicatie, bedrijfsprocessen, organisatieadvies en het geven van opleidingen. Naast zijn inhoudelijke capaciteiten zal de FG verder − gezien de eis van onafhankelijkheid − sterk in zijn schoenen moeten staan. Dergelijke veelpotige schapen zijn schaars op de arbeidsmarkt, zoals ondergetekende Miranda Top-Sarneel in een interview over de FG al aan de orde stelde. Het aanstellen van een FG-team, waarbinnen meerdere personen werkzaam zijn, kan hiervoor een oplossing zijn. Het is dan wel zaak om de precieze verdeling van taken en aansturing van verantwoordelijkheden goed vast te leggen of uit te besteden. Indien u wilt weten of uw organisatie onder de toekomstige privacywetgeving een FG dient aan te stellen en hoe deze aanstelling vorm kan te krijgen, neem dan contact op met het IT- en privacy team van Ploum. Miranda Top-Sarneel zal op 16 mei 2017 tijdens het IIR-congres ‘Voorbereidingen Algemene Verordening Gegevensbescherming’ een break-outsessie verzorgen over de taken en de rol van de FG. Voor dit evenement kunt u zich nog aanmelden.
20 dec 24
18 dec 24
10 dec 24
04 dec 24
29 nov 24
25 nov 24
19 nov 24
13 nov 24
11 nov 24
07 nov 24
01 nov 24
21 okt 24
Met uw inschrijving blijft u op de hoogte van de laatste juridische ontwikkelingen op dit gebied. Vul hieronder uw gegevens in om per e-mail op te hoogte te blijven.
Blijf op de hoogte van de laatste juridische ontwikkelingen in uw sector. Vul hieronder uw gegevens in om op maat gesneden juridische updates en uitnodigingen voor evenementen te ontvangen.
Volgen wat u interessant vindt
Krijg aanbevelingen op basis van uw interesses
{phrase:advantage_3}
{phrase:advantage_4}
We vragen u om uw voor- en achternaam zodat wij die kunnen gebruiken als u zich bijvoorbeeld inschrijft op een Ploum Kennisevent.
Er wordt automatisch een wachtwoord voor u aangemaakt. Zodra uw account is aangemaakt ontvangt u dit wachtwoord in een welkomstmail. U kunt er direct mee inloggen. Dit wachtwoord kunt u indien gewenst ook zelf aanpassen via de wachtwoord vergeten functie.