Sinds 25 mei 2018 is in Nederland de Algemene verordening gegevensbescherming (AVG) van kracht, de privacywet die toeziet op de correcte verwerking en bescherming van persoonsgegevens. De verantwoordelijkheid voor het naleven van de AVG binnen een organisatie ligt bij de directie. Om ervoor te zorgen dat persoonsgegevens op de juiste manier worden behandeld, kan de directie ondersteuning en advies krijgen van een medewerker met een specifieke taakomschrijving, vaak aangeduid als Privacy Officer (PO). In bepaalde gevallen, zoals bij overheidsinstanties of organisaties die grootschalig persoonsgegevens verwerken, is het wettelijk verplicht om een Functionaris Gegevensbescherming (FG) aan te stellen.
Verantwoordelijkheden van de Functionaris Gegevensbescherming
Het is de taak van de functionaris gegevensbescherming om toe te zien op de naleving van de privacywetgeving en om het management hierover te adviseren. De focus hierbij, ligt op onafhankelijke signalering en rapportage.
De functionaris gegevensbescherming rapporteert dus direct aan het management van de organisatie. Hoewel de FG verantwoordelijk is voor het toezicht op de wet- en regelgeving op het gebied van privacy, is het management verantwoordelijk voor de naleving ervan. De FG brengt dus advies uit, maar is niet persoonlijk aansprakelijk voor de naleving van de AVG.
De functionaris gegevensbescherming adviseert personeel over privacy-gerelateerde kwesties en geeft trainingen om de interne kennis op dit gebied te vergroten. Daarnaast assisteert de FG bij het uitvoeren van een Data Protection Impact Assessment (DPIA) en bij het beoordelen van datalekken. Ook onderhoudt de FG het contact met datasubjecten en de Autoriteit Persoonsgegevens (AP).
Eisen aan de functie van functionaris gegevensbescherming
Als een organisatie op grond van de AVG verplicht is een FG aan te stellen, dient de functie volgens bepaalde eisen ingevuld te worden. Deze eisen zijn bedoeld om de onafhankelijkheid van de FG te kunnen waarborgen:
De FG mag geen instructies ontvangen bij de uitoefening van zijn of haar taken;
Ontslag of andere sancties als gevolg van de uitoefening van de taken van de FG zijn niet toegestaan, behalve in het geval van slecht functioneren;
De functionaris voor gegevensbescherming moet over voldoende middelen, tijd en toegang tot systemen beschikken om zijn/haar taken uit te voeren;
De FG bekleedt geen nevenfuncties die mogelijk tot belangenconflicten kunnen leiden.
Heeft mijn organisatie een functionaris gegevensbescherming nodig?
Artikel 37 van de AVG stelt dat het aanstellen van een functionaris gegevensbescherming verplicht is voor:
Overheidsorganisaties en publieke instanties (rechtbanken uitgezonderd);
Organisaties die op grote schaal bijzondere persoonsgegevens verwerken (zoals data met betrekking tot gezondheid, religie of etnische afkomst);
Organisaties die "regelmatig en systematisch" op grote schaal individuen observeren.
Of er sprake is van dit laatste criterium is soms moeilijk te bepalen. Het gaat hierbij bijvoorbeeld om organisaties die personen via hun website volgen en profielen opbouwen op basis van interesses en voorkeuren. Om te kwalificeren voor de laatste categorie moet dit echter wel de kernactiviteit van de organisatie zijn. Als u alleen gegevens verzamelt over het gebruik van uw website betekent dit dus niet dat u verplicht bent een functionaris gegevensbescherming aan te stellen.
Gezien het maatschappelijk belang van privacybescherming en de risico’s voor de onderneming als persoonsgegevens onvoldoende worden beschermd (reputatieschade, boetes), is het aan te raden om in ieder geval een medewerker aan te wijzen als aanspreekpunt voor privacy en persoonsgegevens. Ook als uw organisatie niet in de bovengenoemde categorieën valt. In dat geval is het aanstellen van een Privacy Officer een goede keuze. Zowel de FG- als PO-functie kan intern worden ingevuld, maar ze kunnen ook worden uitbesteed.
Functionaris Gegevensbescherming vs. Privacy Officer
In de praktijk ontstaat regelmatig verwarring over het verschil tussen de privacy officer en de functionaris gegevensbescherming.
Net als de FG is het de taak van de PO om toe te zien op de naleving van de privacywetgeving en om het management hierover te adviseren. Anders dan voor de rol van de PO, is de rol van de FG echter wettelijk vastgelegd.
Grote organisaties kiezen er soms om praktische redenen voor om zowel een functionaris gegevensbescherming als een privacy officer aan te stellen. Hierdoor wordt immers het aantal medewerkers dat zich bezighoudt met privacy en de naleving van de AVG vergroot, terwijl voor klanten en toezichthouders duidelijk is wie het eerste aanspreekpunt van de organisatie is.
