Functionaris Gegevensbescherming

Sinds 25 mei 2018 is in Nederland de Algemene verordening gegevensbescherming (AVG) van kracht, de privacywet die toeziet op de correcte verwerking en bescherming van persoonsgegevens. De verantwoordelijkheid voor het naleven van de AVG binnen een organisatie ligt bij de directie. Om ervoor te zorgen dat persoonsgegevens op de juiste manier worden behandeld, kan de directie ondersteuning en advies krijgen van een medewerker met een specifieke taakomschrijving, vaak aangeduid als Privacy Officer (PO). In bepaalde gevallen, zoals bij overheidsinstanties of organisaties die grootschalig persoonsgegevens verwerken, is het wettelijk verplicht om een Functionaris Gegevensbescherming (FG) aan te stellen.

Verantwoordelijkheden van de Functionaris Gegevensbescherming 

De Officer Data heeft als taak om toezicht te houden op en het management te adviseren over compliance van de wetgeving data . De nadruk ligt op onafhankelijke signalering en rapportage. 

De DPO rapporteert daarom rechtstreeks aan het management van de organisatie. Hoewel de DPO verantwoordelijk is voor het toezicht op privacy en regelgeving, is het management verantwoordelijk voor compliance. De DPO geeft advies, maar is niet persoonlijk aansprakelijk voor compliance van de AVG. 

De functionaris gegevensbescherming adviseert personeel over privacy-gerelateerde kwesties en geeft trainingen om de interne kennis op dit gebied te vergroten. Daarnaast assisteert de FG bij het uitvoeren van een Data Protection Impact Assessment (DPIA) en bij het beoordelen van datalekken. Ook onderhoudt de FG het contact met datasubjecten en de Autoriteit Persoonsgegevens (AP).

Eisen aan de functie van functionaris gegevensbescherming

Als een organisatie op grond van de AVG verplicht is een FG aan te stellen, dient de functie volgens bepaalde eisen ingevuld te worden. Deze eisen zijn bedoeld om de onafhankelijkheid van de FG te kunnen waarborgen:  

  • De FG mag geen instructies ontvangen bij de uitoefening van zijn of haar taken; 
  • Ontslag of andere sancties als gevolg van de uitoefening van de taken van de FG zijn niet toegestaan, behalve in het geval van slecht functioneren;  
  • De functionaris voor gegevensbescherming moet over voldoende middelen, tijd en toegang tot systemen beschikken om zijn/haar taken uit te voeren; 
  • De FG bekleedt geen nevenfuncties die mogelijk tot belangenconflicten kunnen leiden.

Heeft mijn organisatie een functionaris gegevensbescherming nodig?  

Artikel 37 van de AVG stelt dat het aanstellen van een functionaris gegevensbescherming verplicht is voor:

  • Overheidsorganisaties en publieke instanties (rechtbanken uitgezonderd);  
  • Organisaties die op grote schaal bijzondere persoonsgegevens verwerken (zoals data met betrekking tot gezondheid, religie of etnische afkomst); 
  • Organisaties die "regelmatig en systematisch" op grote schaal individuen controleren

Of er sprake is van dit laatste criterium is soms moeilijk te bepalen. Het gaat hierbij bijvoorbeeld om organisaties die personen via hun website volgen en profielen opbouwen op basis van interesses en voorkeuren. Om te kwalificeren voor de laatste categorie moet dit echter wel de kernactiviteit van de organisatie zijn. Als u alleen gegevens verzamelt over het gebruik van uw website betekent dit dus niet dat u verplicht bent een functionaris gegevensbescherming aan te stellen.  

Gezien het maatschappelijk belang van privacybescherming en de risico’s voor de onderneming als persoonsgegevens onvoldoende worden beschermd (reputatieschade, boetes), is het aan te raden om in ieder geval een medewerker aan te wijzen als aanspreekpunt voor privacy en persoonsgegevens. Ook als uw organisatie niet in de bovengenoemde categorieën valt. In dat geval is het aanstellen van een Privacy Officer een goede keuze. Zowel de FG- als PO-functie kan intern worden ingevuld, maar ze kunnen ook worden uitbesteed.

Functionaris Gegevensbescherming vs. Privacy Officer

In de praktijk ontstaat regelmatig verwarring over het verschil tussen de privacy officer en de functionaris gegevensbescherming.

Net als de FG is het de taak van de PO om toe te zien op de naleving van de privacywetgeving en om het management hierover te adviseren. Anders dan voor de rol van de PO, is de rol van de FG echter wettelijk vastgelegd.  

Grote organisaties kiezen er om praktische redenen soms voor om zowel een Officer Data als eenOfficer aan te stellen. Dit vergroot immers het aantal medewerkers dat zich bezighoudt met data encompliance, terwijl het voor klanten en toezichthouders duidelijk is wie het eerste aanspreekpunt van de organisatie is. 

Meer weten?

Wil je advies over het vervullen van de rol van FG of PO? Onze consultants adviseren je graag over privacy-gerelateerde zaken. Ook kunnen ze de rol van (externe) Privacy Officer of(externe) Functionaris Gegevensbescherming vervullen.