De AVG over de FG

 

De AVG over de FG

Iedereen die over de AVG heeft gehoord, heeft waarschijnlijk ook gehoord van ‘de FG’. Maar wat is een Functionaris Gegevensbescherming eigenlijk? Wat doet een FG? Wat is zijn positie binnen het bedrijf? Is een FG verplicht? Hieronder gaan we in op de meest voorkomende vragen (de FAQ over de FG uit de AVG dus…).

 

Waar staat FG voor?

De afkorting FG staat voor Functionaris Gegevensbescherming. In het Engels: DPO van Data Protection Officer.

 

Wat zijn de taken van een FG?

Een FG ziet er op toe dat de AVG goed wordt nageleefd. Bij alle bedrijfsprocessen waarin persoonsgegevens worden verwerkt, dient hij na te gaan of dit conform de AVG geschiedt en moet hij de organisatie daarover informeren en adviseren.

 

Wanneer is een FG verplicht?

De aanstelling van een FG is verplicht voor:

  • overheden (ongeacht het type gegevens dat wordt verwerkt);
  • organisaties die in de uitoefening van hun kerntaak regelmatig, stelselmatig en op grote schaal betrokkenen observeren
  • organisaties die in de uitoefening van hun kerntaak op grote schaal speciale categorieën persoonsgegevens of strafrechtelijke persoonsgegevens verwerken
  • organisaties waarvoor dit is bepaald in nationale wetgeving.

 

Wat houden ‘kerntaken’ in?

Als ‘kerntaken’ worden beschouwd de belangrijkste handelingen die worden verricht om de doelstellingen van het bedrijf te behalen.

 

Deze omvatten ook alle activiteiten waarbij het verwerken van gegevens onlosmakelijk deel uitmaakt van de activiteit van de organisatie. Het verwerken van gezondheidsgegevens is onlosmakelijk verbonden met de kernactiviteiten van een ziekenhuis; een ziekenhuis is dus verplicht om een FG aan te stellen. Een beveiligingsbedrijf  heeft als kerntaak 'beveiligen' en dat is onlosmakelijk verbonden met de verwerking van persoonsgegevens. Een beveiligingsbedrijf zal dus een FG moeten aanstellen.

 

Wat betekent ‘op grote schaal’?

Wat ‘op grote schaal’ betekent, wordt niet gedefinieerd. Aangeraden wordt om rekening te houden met de navolgende factoren:

  • het aantal betrokkenen
  • de hoeveelheid gegevens
  • de duur van de verwerkingen
  • de geografische omvang van de verwerkingsactiviteit.

 

Wat betekent ‘regelmatige en stelselmatige observatie’?

Wat ‘regelmatige en stelselmatige observatie’ betekent, wordt niet gedefinieerd.

 

‘Observatie’ omvat in ieder geval alle vormen van opsporing en profilering op het internet maar bijvoorbeeld ook een gesloten tv-circuit.

 

Onder ‘regelmatig’ wordt beschouwd:

  • iets wat doorlopend of op specifieke ogenblikken gedurende een bepaalde periode voorkomt
  • terugkerend of repetitief op vaste tijdstippen
  • iets wat zich constant of periodiek voordoet.

 

Iets is "stelselmatig" op een of meer van de volgende manieren:

  • wat zich volgens een systeem voordoet, of
  • vooraf geregeld, georganiseerd of methodisch
  • iets wat zich voordoet in het kader van een algemeen programma voor gegevensverzameling
  • iets wat wordt uitgevoerd in het kader van een strategie.

 

FG niet verplicht, toch doen?

Een organisatie kan er vrijwillig voor kiezen een FG aan te stellen. Daar gelden dan dezelfde eisen voor als wanneer het zou gaan om een verplichte FG. Het kan verstandig zijn om een FG aan te stellen, ook al is het niet verplicht. Naar mate het verwerken van persoonsgegevens belangrijk is voor de processen binnen een bedrijf, is het raadzamer een FG aan te stellen. Wordt geen FG aangesteld, noem degene die met ‘de privacy’ is belast dan ook geen FG. 

 

Geen FG: leg vast waarom!

Wanneer de organisatie er voor kiest om geen FG aan te stellen, leg dan de argumenten daarvan vast in het interne privacybeleid. Hiermee wordt invulling gegeven aan de verantwoordingsplicht.

 

De kwaliteiten van een FG

Een FG moet worden aangewezen op grond van zijn professionele kwaliteiten en zijn deskundigheid op het gebied van wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen om zijn taken te vervullen. Het vereisten niveau van deskundigheid wordt bepaald op grond van de uitgevoerde gegevensverwerkingsactiviteiten en de daarvoor benodigde bescherming.

 

De relevante vaardigheden en deskundigheid omvatten:

  • expertise in nationale en Europese wetten en praktijken inzake gegevensbescherming met inbegrip van een grondig inzicht in de AVG
  • inzicht in de uitgevoerde verwerkingen
  • kennis van informatietechnologieën en gegevensbeveiliging
  • kennis van de bedrijfstak en de organisatie
  • vermogen om binnen de organisatie een cultuur van gegevensbescherming te bevorderen.

 

Kan er een externe FG worden aangesteld?

Ja. Een FG kan zowel een werknemer van de organisatie zijn als een extern aangetrokken deskundige.

 

Kan een FG zijn taken delegeren aan teamleden?

Ja. Maar er dient wel duidelijk één persoon de contactpersoon, ofwel de FG, te zijn. Overigens dienen alle teamleden van de FG aan de eisen te voldoen die aan een FG worden gesteld. Het is raadzaam om de verdeling van taken binnen het team goed vast te leggen en daar transparant over te communiceren.

 

Kan er binnen een concern een gezamenlijke FG worden aangesteld?

Ja. Een concern kan één enkele FG aanstellen op voorwaarde dat deze persoon vanuit elke vestiging of bedrijfsonderdeel makkelijk is te contacteren (voor betrokkenen, de organisatie en de AP).

 

De FG is niet persoonlijk verantwoordelijk

Een FG is niet persoonlijk verantwoordelijk voor niet-naleving van de AVG. Dat blijft de verantwoordelijkheid van de organisatie waar hij voor werkt.

 

Een FG moet onafhankelijk zijn

Een FG moet onafhankelijk kunnen opereren. Dit wordt bewerkstelligd doordat de organisatie:

  • de FG geen instructies mag geven over de uitoefening van zijn taken als FG
  • de FG niet mag straffen of ontslaan voor de uitvoering van zijn taken als FG
  • de FG geen taken mag geven die tot een belangenconflict leiden met zijn taken als FG. Het vermijden van een belangenconflict betekent o.a. dat een FG geen functie mag bekleden waarin hij voor doelen en middelen van verwerkingen moet bepalen (zoals bijvoorbeeld vaak het geval zal zijn bij een functie in het hoger management).

 

Een FG moet de nodige steun krijgen

Om zijn werk te kunnen doen, moet de FG:

  • actief worden ondersteund door het hoger management
  • adequaat worden ondersteund op het vlak van financiële middelen, infrastructuur en personeel
  • officiële bekend worden gemaakt onder alle personeelsleden
  • toegang worden verleend tot (informatie van) andere diensten binnen de organisatie.

 

De rol van een FG bij een DPIA

Bij een Data Protection Impact Assessment moet de organisatie de FG om advies vragen, o.a.

  • of er een DPIA moet worden uitgevoerd
  • welke methodologie bij de DPIA moet worden gevolgd
  • of de DPIA intern moet worden uitgevoerd of moet worden uitbesteed
  • welke waarborgen moeten worden toegepast om eventuele risico’s voor de rechten en belangen van de betrokkenen te beperken
  • of de DPIA correct is uitgevoerd en of de conclusies in overeenstemming zijn met de AVG.

 

De rol van een FG ten aanzien van het verwerkingsregister

Het is de verantwoordelijkheid van de organisatie om een verwerkingsregister bij te houden. Die taak kan evenwel aan de FG worden toevertrouwd. Voor de FG is zo’n verwerkingsregister een hulpmiddel om zijn taken uit te voeren.