02 mrt '22
Op grond van de Algemene verordening gegevensbescherming (“AVG”) kan het zo zijn dat uw organisatie verplicht is een FG aan te stellen. Deze dient een bepaalde deskundigheid te hebben en een onafhankelijke positie binnen de organisatie. Omdat wij merken dat over de rol van de FG bij diverse organisaties vragen spelen, beantwoorden wij – in navolging van ons eerdere blog hierover – vier veelvoorkomende vragen uit de praktijk.
De term “Functionaris Gegevensbescherming” wordt, in tegenstelling tot veel andere kernbegrippen van de AVG, niet gedefinieerd in artikel 4 van de AVG. Een definitie is wel te vinden op de website van de Autoriteit Persoonsgegevens (“AP”). De taak van de FG is ‘het toezicht houden op de toepassing en naleving van de AVG binnen de organisatie’.
De AVG geeft wel nadere informatie over wanneer en hoe een FG dient te worden aangesteld (artikel 37 AVG), de positie van de FG (artikel 38 AVG) en de taken die de FG dient uit te voeren in het kader van het toezicht dat zij uitvoert op de toepassing en naleving van de AVG (artikel 39 AVG). In ons eerdere blog schreven wij al een en ander over de taken van de FG en de organisatorische eisen aan deze positie. De AP heeft nog niet zo lang geleden ook een factsheet online gezet, waarin meer informatie staat over hoe zij de rol van de FG binnen de organisatie (en in verhouding tot het bestuur ervan) ziet. Het is interessant om deze factsheet te lezen. Dit biedt handvatten om de positie van de FG binnen uw organisatie goed in te richten en hierin wordt bijvoorbeeld ook verduidelijkt welke rol de FG kan vervullen in de contacten met de AP.
Zoals in voornoemd blog uit 2017 al viel te lezen, zijn er een aantal situaties waarin het aanstellen van een FG verplicht is. Wanneer een situatie waarin het aanstellen van een FG verplicht is zich voordoet, verdient wat nadere toelichting omdat de begrippen waarmee die situaties worden omschreven (hieronder dikgedrukt) soms lastig te interpreteren zijn. Hieronder geven wij een korte toelichting, met betrekking tot de situaties waarin een FG is vereist:
Onder de kernactiviteit van een organisatie vallen de processen die essentieel zijn om de doelen van de organisatie te bereiken of die tot de hoofdtaken van de organisatie behoren. Voor de beoordeling of er sprake is van een verwerking op grote schaal kijkt de AP naar het aantal betrokkenen, de hoeveelheid verwerkte gegevens, de duur van de verwerkingsactiviteiten en het geografische gebied dat de verwerking beslaat. Met regelmatige en stelselmatige observatie wordt bedoeld dat een handeling doorlopend plaatsvindt of steeds terugkeert op bepaalde ogenblikken gedurende een bepaalde periode) en dat gebeurt volgens een systeem dat vooraf geregeld, georganiseerd of methodisch is in het kader van een algemeen programma voor gegevensverzameling in het kader van de strategie van uw organisatie.
Naast de hierboven genoemde situaties, geeft de AVG EU-lidstaten overigens de mogelijkheid om ook andere situaties aan te wijzen waarin een FG verplicht is. Nederland heeft hiervan tot nu toe geen gebruik gemaakt.
Wanneer u niet verplicht bent om een FG aan te stellen, is het natuurlijk wel handig om een FG of in ieder geval een privacy officer aan te wijzen. Let er wel op dat wanneer de titel “FG” wordt gevoerd de eisen gelden die de AVG aan de verplichte FG stelt. Voldoet de aangestelde FG niet aan die eisen, dan moet een andere titel gebruikt worden om verwarring over de functie, positie en taken te voorkomen (zoals privacy officer). Leg wel vast waarom u meent geen FG aan te hoeven stellen (bijvoorbeeld in uw interne privacybeleid).
Wanneer uw organisatie onderdeel is van een groep of concern, is het ook mogelijk om gezamenlijk met de groep één FG te benoemen. Hieraan wordt dan wel de eis gesteld dat de FG goed bereikbaar is vanuit elke afdeling en vestiging van de groep en daadwerkelijk in staat is om de eisen die aan een FG worden gesteld te vervullen.
Een FG moet beschikken over diverse kwaliteiten en deskundigheid op het gebied van de wetgeving en de praktijk met betrekking tot de bescherming van persoonsgegevens. Concreet dient de FG te beschikken over kennis van nationale en Europese privacywet- en regelgeving, begrip te hebben van de gegevensverwerking die de organisatie uitvoert en van IT- en informatiebeveiliging, kennis te hebben van de organisatie en de sector waarin die actief is en voorts dient deze te beschikken over de vaardigheden om binnen de organisatie een cultuur van gegevensbescherming te ontwikkelen. In 2017 gaven wij al aan dat dit een uitdaging kan zijn. Let op: in voornoemde factsheet van de AP is ook verduidelijkt dat de FG niet tegelijkertijd een functie kan vervullen waarin hij operationele verantwoordelijkheid draagt voor gegevensverwerkingen. Het ‘hoofd IT of HR’ kan dus in beginsel niet ook de FG zijn.
Het niveau van deskundigheid kan wel afhankelijk zijn van de verwerkingsactiviteiten die uw organisatie uitvoert. Wanneer uw organisatie bijvoorbeeld (veel) gevoelige persoonsgegevens, zoals gezondheidsgegevens of financiële gegevens, verwerkt of naarmate uw organisatie op grotere schaal persoonsgegevens verwerkt, dient de FG over meer kwaliteiten en deskundigheid te beschikken.
Tot slot is het van belang om uw FG bij de AP aan te melden. Deze aanmelding kan worden gedaan middels een formulier dat verkrijgbaar is via de website van de AP. Mocht u nog een FG hebben aangemeld vóór de inwerkingtreding van de AVG op 25 mei 2018, let er dan op dat u deze opnieuw moet aanmelden.
In de praktijk kan de beoordeling van de verplichting tot het aanstellen van een FG lastig zijn of bestaan onduidelijkheden over de eisen waaraan deze moet voldoen. Ook krijgen wij vragen over wat de rol van de FG is in een onderzoek van de Autoriteit Persoonsgegevens.
Neem bij dit soort vragen gerust contact op met één van de gespecialiseerde advocaten uit ons privacy team. U kunt ook altijd even mailen naar privacy@ploum.nl, dan nemen wij spoedig contact met u op.
20 dec 24
18 dec 24
10 dec 24
04 dec 24
29 nov 24
25 nov 24
19 nov 24
13 nov 24
11 nov 24
07 nov 24
01 nov 24
21 okt 24
Met uw inschrijving blijft u op de hoogte van de laatste juridische ontwikkelingen op dit gebied. Vul hieronder uw gegevens in om per e-mail op te hoogte te blijven.
Blijf op de hoogte van de laatste juridische ontwikkelingen in uw sector. Vul hieronder uw gegevens in om op maat gesneden juridische updates en uitnodigingen voor evenementen te ontvangen.
Volgen wat u interessant vindt
Krijg aanbevelingen op basis van uw interesses
{phrase:advantage_3}
{phrase:advantage_4}
We vragen u om uw voor- en achternaam zodat wij die kunnen gebruiken als u zich bijvoorbeeld inschrijft op een Ploum Kennisevent.
Er wordt automatisch een wachtwoord voor u aangemaakt. Zodra uw account is aangemaakt ontvangt u dit wachtwoord in een welkomstmail. U kunt er direct mee inloggen. Dit wachtwoord kunt u indien gewenst ook zelf aanpassen via de wachtwoord vergeten functie.