Avg uitgelegd: Functionaris voor de Gegevensbescherming

AVG
Functionaris voor de Gegevensbescherming

In de serie Avg uitgelegd nemen we de belangrijkste begrippen uit de Avg onder de loep. Tip: is de Avg nog helemaal nieuw voor je? Begin dan bij 10 vragen en antwoorden over de Avg. In dit artikel gaan we in op de Functionaris voor de Gegevensbescherming (FG, Data Protection Officer of DPO).

Voor het laatst bijgewerkt in oktober 2020.

Wat is een Functionaris voor de Gegevensbescherming?

Een FG is kort gezegd een interne toezichthouder op de verwerking van persoonsgegevens. In de praktijk wordt ook vaak de Engelse term gebruikt: Data Protection Officer, afgekort: DPO.

Ook onder de huidige wetgeving bestond al de mogelijkheid tot het aanstellen van een FG. De FG houdt toezicht op de toepassing en naleving van de privacy-wetgeving. Heeft een organisatie een FG, dan houdt de Autoriteit Persoonsgegevens (AP) als nationale toezichthouder alle bevoegdheden, maar de AP stelt zich terughoudend op bij organisaties met een FG.

Nieuw in de Avg is dat de FG verplicht gaat worden gesteld voor een groot aantal organisaties.

Wie zijn straks verplicht tot het hebben van een FG?

Er zijn drie soorten organisaties die onder de verordening verplicht zijn een FG te hebben:

  1. De overheid
  2. Organisaties die hoofdzakelijk belast zijn met het doen van verwerkingen die vanwege hun aard, hun omvang en/of doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen
  3. Organisaties die hoofdzakelijk belast zijn met het op grote schaal verwerken van bijzondere gegevens

Als je meer wilt weten over de begrippen die hier genoemd worden (zoals ‘bijzondere gegevens’ of ‘hoofdzakelijk belast zijn met’) of als je een idee wilt krijgen of jouw organisatie mogelijk een FG nodig heeft, doe dan hier de FG-quickscan van NLdigital.

Voor ICT-bedrijven komt het erop neer dat veel van hen straks mogelijk een FG moeten hebben. Dan kun je denken aan SaaS-leveranciers van ziekteverzuimsoftware of andere software waarin bijzondere gegevens staan, leveranciers van telecommunicatiediensten, bedrijven die doen aan behavioural advertising, aanbieders van diverse ‘smart devices’, et cetera.

Ook als je daartoe niet verplicht bent, kun je er als organisatie voor kiezen een FG te benoemen.

Wat zijn de taken van een Functionaris voor de Gegevensbescherming?

De taken van de FG zoals die worden omschreven in de Avg en blijken uit een nadere toelichting van de Europese toezichthouders zijn (ten minste) de volgende:

  • Creëren van privacy-bewustzijn in de organisatie:
    • Het informeren en adviseren van de organisatie over de verplichtingen op grond van privacy-wetgeving (denk aan: fungeren als sparringpartner voor management en de business op het gebied van privacy en gegevensbeveiliging en geven van concrete adviezen op dit punt).
    • Bewustmaking en opleiding van het betrokken personeel (bijvoorbeeld door het geven van interne trainingen en verzenden van informatie per e-mail).
  • Actief betrokken bij de wijze waarop wordt omgegaan met gegevens:
    • Eén van de andere begrippen die in artikelen over Avg aan de orde komt is de Data Protection Impact Assessment (DPIA). Dit is een beoordeling die sommige organisaties zullen moeten doen voordat zij een nieuw soort gegevensverwerking gaan doen. De FG kan bij de DPIA assisteren, bijvoorbeeld door mee te denken over het wel of niet uitvoeren van een DPIA, de wijze waarop de DPIA uitgevoerd moet worden en het beperken van risico’s die kleven aan de gegevensverwerking, analyseren of de DPIA correct is uitgevoerd.
  • Overige toezichtstaken:
    • Toezien op de naleving van de privacy-wetgeving, het eigen interne privacy-beleid en audits (hier komt de toezichthoudende functie tot zijn recht).
    • Samenwerken met de Autoriteit Persoonsgegevens (AP)
    • Functioneren als (eerste) aanspreekpunt en sparringpartner voor de AP

Onder de oude privacywet moest je gegevensverwerkingen melden bij de AP. Onder de verordening vervalt die meldplicht en dienen alle organisaties die daartoe gehouden zijn zelf een register van gegevensverwerkingen bij te houden. Zie daarvoor het artikel over accountability en de documentatieplicht. Het bijhouden van dit register is primair de verantwoordelijkheid van de organisatie zelf, maar deze taak kan ook worden uitbesteed aan de FG. Ook kan de FG het register gebruiken om zijn taken goed te kunnen doen.

Bij de uitvoering van zijn taken dient de FG rekening te houden met het aan de gegevensverwerking verbonden risico, en met de aard, de omvang, de context en de verwerkingsdoeleinden. Met andere woorden: hij is zich bewust van het soort verwerkingen dat bij of voor de organisatie plaatsvindt en past zijn adviezen en toezicht daarop aan.

Welke eisen worden er gesteld aan een FG?

Een FG moet aan veel eisen voldoen. Zo moet hij volgens de Avg voldoende deskundig zijn en over voldoende professionele kwaliteiten beschikken om de hiervoor genoemde taken te kunnen uitvoeren. De FG moet in het bijzonder deskundig zijn op het gebied van gegevensbescherming zowel qua wetgeving als de praktijk. In praktijk betekent dit dat FG’s:

  • Ervaring moeten hebben met nationale en Europese privacywetgeving en gebruiken, inclusief uitgebreide kennis van de Avg.
  • Verstand moeten hebben van de gegevensverwerkingen die de organisatie uitvoert.
  • Verstand moeten hebben van IT en beveiliging van gegevens.
  • Kennis moeten hebben van de desbetreffende sector en organisatie.
  • In staat moeten zijn om binnen de organisatie beveiliging van data te promoten.
  • Betrouwbaar moeten zijn (zij zijn verplicht tot geheimhouding).

Op dit moment worden er diverse opleidingen tot ‘FG’ aangeboden. Er bestaat echter nog geen ‘standaard’ certificaat. Uiteraard is het wel van belang dat de FG die u als organisatie benoemt voldoende kennis heeft en daarbij kan het halen van (niet officieel erkende) certificaten wel helpen.

Wat is de positie van een FG binnen de organisatie en wat moet ik doen om de FG te faciliteren?

De FG wordt niet persoonlijk aangesproken op het moment dat de organisatie niet compliant blijkt te zijn. Uit de Avg blijkt dat het bedrijf zelf degene is die moet kunnen aantonen dat de gegevensverwerking voldoet aan de eisen uit de Avg.

De FG moet zijn taken onafhankelijk kunnen uitvoeren. Dat betekent dat:

  • De FG geen instructie mag krijgen van de organisatie met betrekking tot de uitvoering van zijn taken als FG.
  • De FG niet mag worden ontslagen of gestraft voor de uitvoering van zijn taken (vergelijkbaar met een lid van de ondernemingsraad).
  • De FG rechtstreeks verslag doet aan de hoogste leidinggevende van de organisatie.

De organisatie zal de FG ook in staat moeten stellen om zijn taken goed uit te voeren. Dat houdt in dat:

  • De FG door de organisatie tijdig wordt betrokken bij alles dat te maken heeft met de bescherming van persoonsgegevens (denk aan: het betrekken van de FG in een zo vroeg mogelijk stadium van de gegevensverwerking, betrekken van de FG als sparringpartner bij discussies over gegevensverwerkingen, ook op managementniveau, en direct betrekken van de FG bij datalekken).
  • De organisatie de FG ondersteunt bij de vervulling van zijn taken door zo nodig:
    • de FG toegang te geven tot persoonsgegevens en verwerkingsactiviteiten;
    • de FG de benodigde middelen ter beschikking te stellen voor het vervullen van zijn taken (denk aan: voldoende tijd voor uitvoeren taken, voldoende steun vanuit management, voldoende financiële middelen, infrastructurele faciliteiten (locatie, materialen) en zo nodig ondersteunend personeel, toegang binnen de organisatie voor zowel verkrijgen van informatie en input als benodigde ondersteuning, voldoende bekendheid binnen de organisatie wie de FG is en hoe hem te bereiken)
    • de FG de benodigde middelen ter beschikking te stellen voor het in stand houden van zijn deskundigheid (geven van tijd en geld voor training en opleiding)

Een FG heeft geen formele sanctiebevoegdheden. Maar doordat de organisatie vergaand verplicht is medewerking te verlenen, heeft een FG wel controlebevoegdheden en moet in staat worden gesteld om ruimtes te betreden, zaken te onderzoeken en inlichtingen en inzage te vragen.

Wie kan ik benoemen tot FG en kan ik ook een externe FG benoemen?

In principe kan ieder personeelslid dat voldoet aan de eisen tot FG worden benoemd.

Let op: een FG mag geen conflicterend belang hebben. Een conflicterend belang zal zich al snel voordoen als de FG tevens een senior management functie heeft (denk aan CEO, CFO, CMO, hoofd marketing, hoofd HR, hoofd IT). Ook anderen binnen het bedrijf kunnen een conflicterend belang hebben als zij zelf inhoudelijk betrokken zijn bij gegevensverwerkingen.

Daarnaast bestaat de mogelijkheid tot het benoemen van een externe FG. Dat kan op grond van een dienstverleningsovereenkomst met een persoon of organisatie. Ook de externe FG zal moeten voldoen aan de hiervoor genoemde eisen. Daarnaast is van belang dat, ook als je werkt met een organisatie die een heel team van FG’s ter beschikking stelt, je één FG als hoofdcontactpersoon benoemt voor de organisatie. Die persoon wordt dan het centrale aanspreekpunt, maar kan uiteraard terugvallen op de rest van het team.

Het is ook mogelijk om een externe FG af te nemen als onderdeel van onze Data Pro Certificering.

Kan ik samen met anderen één FG benoemen?

Ja, dat kan, mits de FG voor iedereen eenvoudig toegankelijk is. Dat geldt dan zowel voor personen vanuit de organisatie, als voor betrokkenen die contact zoeken met de desbetreffende FG als voor de betrokken autoriteiten. Daarbij kun je denken aan fysiek op de vestiging aanwezig zijn of bijvoorbeeld een “FG-hotline”.

Tijd en taal kunnen daarbij een barrière zijn. Een FG die in zijn eentje 500 vestigingen bedient die allemaal zeer complexe gegevensverwerkingen doen, zal al snel zijn taken niet goed meer kunnen uitvoeren door tijdgebrek. Ook zal een FG die uitsluitend de Nederlandse en Engelse taal machtig is niet snel FG kunnen zijn voor een Frans bedrijf, zeker niet als dat bedrijf persoonsgegevens van Franse burgers verwerkt.

Hoe stel ik een Functionaris voor de Gegevensbescherming aan?

Zodra je als organisatie iemand als FG hebt aangewezen, moet je zijn of haar contactgegevens bekend maken zowel binnen de organisatie als buiten de organisatie richting degenen wiens persoonsgegevens je verwerkt. Dat doe je onder meer door deze in je privacy-statement op te nemen.

Daarnaast moeten de up to date contactgegevens van de FG worden doorgegeven aan de Autoriteit Persoonsgegevens. Dat kan via een speciaal aanmeldformulier. Zie voor meer informatie over de huidige FG en het aanmeldformulier de website van de AP. Overigens is het ook mogelijk om meerdere FG’s aan te wijzen. In dat geval moet iedere FG worden aangemeld bij de AP.

Heb ik een Functionaris voor de Gegevensbescherming nodig?

Doe hier de quickscan van NLDigital om te zien of jouw organisatie waarschijnlijk wel of waarschijnlijk niet een FG nodig heeft.

Wat als ik nog vragen heb?

Met onze Data Pro Dienstverlening geven onze juristen onder meer advies en ondersteuning bij vraagstukken op het gebied van privacy. NLdigital organiseert ook verschillende workshops en bijeenkomsten. Leden van NLdigital kunnen kosteloos deelnemen. Ben je nog geen lid en wil je ook profiteren van deze en vele andere mogelijkheden van het lidmaatschap? Bekijk de voordelen.

Meer lezen over de Avg?

We hebben binnen onze kennisbank diverse artikelen over de Avg.

Lees meer