Moet ik een Functionaris Gegevensbescherming aanstellen?

6 juli 2017

U heeft de vraag vast al eens voorbij horen komen, of misschien zit u zelf al een tijdje met exact dezelfde vraag. De aanscherping van de Wet Bescherming Persoonsgegevens (Wbp) brengt nogal wat verplichtingen; zo ook het aanstellen van een Functionaris Gegevensbescherming (FG) voor bedrijven die persoonsgegevens verwerken. Maar voor wie geldt deze verplichting nu precies? En wat houdt zo’n aanstelling concreet in? Wij snappen heel goed dat veel organisaties nog geen antwoord hebben op deze vraag. Er zitten namelijk een aantal haken en ogen aan deze regeling, die ervoor zorgen dat de antwoorden op deze vraag per organisatie wezenlijk verschillen.

Voor zorginstellingen is het bijvoorbeeld per 1 juli 2017 al verplicht om minimaal één Functionaris Gegevensbescherming aan te stellen. Buiten de zorg is het aanstellen van een FG in de meeste gevallen pas verplicht vanaf 25 mei 2018, de ingangsdatum van de Algemene Verordening Gegevensbescherming (AVG).

Maar u leest het al, er staat ‘in de meeste gevallen’. Wat zijn dan precies de richtlijnen? Als organisatie bent u verplicht om schriftelijk de belangrijkste aspecten van de persoonsgegevens die u verwerkt, vast te leggen. Dit geldt niet voor organisaties met minder dan 250 medewerkers, tenzij deze organisaties:

  • Op grote schaal en stelselmatig persoonsgegevens verwerken.
  • De gegevensverwerking een groot risico voor de betrokkenen inhoudt.

Wanneer u deze richtlijnen leest, begrijpt u waarschijnlijk al meteen waarom zorginstellingen eigenlijk gisteren al een Functionaris Gegevensbescherming  in dienst moeten hebben. Maar ook overheidsinstanties en bedrijven die het observeren van personen als (hoofd)activiteit hebben, zijn verplicht een FG aan te stellen. Overigens kan het voorkomen dat achteraf blijkt dat het aanstellen van een FG toch niet nodig was voor uw organisatie. Het is dan lastig om afscheid te nemen. Zoek daarom vooraf goed uit of het aanstellen van een FG verplicht is voor uw organisatie.

Waar moet een Functionaris Gegevensbescherming aan voldoen?

Stel: u bent een zorginstelling en u heeft nog geen Functionaris Gegevensbescherming (FG), of u bent van een andere organisatie en bent gewoon graag op tijd voorbereid voor de toch al snel naderende 25 mei 2018. Houd er dan ook rekening mee dat belangenverstrengeling moet worden voorkomen en de FG binnen uw organisatie niet ook een functie mag hebben waarin hij het doel en de middelen van gegevensverwerking bepaalt. Dat kan bijvoorbeeld voorkomen als de FG een managementpositie vervult, bijvoorbeeld als hoofd financiën, -strategie, -marketing, -IT of –HRM.

Daarnaast zijn er nog een aantal eisen waaraan een FG moet voldoen. Ten eerste moet een Functionaris Gegevensbescherming (FG) altijd een natuurlijk persoon zijn. Een ondernemingsraad of commissie komt dus niet in aanmerking. Daarbij komt dat een FG over voldoende kennis van de organisatie en de privacywetgeving moet beschikken en betrouwbaar moet zijn. Dit laatste uit zich onder meer in een geheimhoudingsplicht.

Een dag in het leven van een FG

Tot dusver de richtlijnen en regels voor het aanstellen van een FG, maar wat kunt u dan precies verwachten als u zo’n FG aanstelt? Kort gezegd controleert de FG dagelijks of de Wet Bescherming Persoonsgegevens op de juiste manier wordt toegepast en nagestreefd binnen uw organisatie. Dat houdt in dat een dag van een FG er ongeveer zo uit zal zien:

  • In de ochtend maakt de FG een inventarisatie van de gemelde gegevensverwerkingen.
  • Deze meldingen verwerkt hij/zij in een overzicht zodat precies in beeld is welke gegevensverwerkingen er hebben plaats gevonden.
  • Voor de lunch behandelt de FG vragen, klachten en opmerkingen van mensen binnen en buiten de organisatie.
  • Na de lunchpauze scherpt de FG interne processen en procedures verder aan zodat de gegevensverwerking nog beter wordt.
  • Daarna is er een overleg met een externe partij over de technologie die gebruikt wordt om bescherming van de gegevens te garanderen. Bescherming van deze gegevens is prioriteit nummer één.
  • Vlak voordat de FG naar huis gaat werkt hij/zij de interne gedragscode omtrent gegevensverwerking bij.

De Autoriteit Persoonsgegevens verliest na aanstelling van een FG binnen een organisatie geen van zijn bevoegdheden als nationale toezichthouder. Toch is de AP terughoudender bij organisaties met een FG in dienst. Meer weten over de AVG/GDPR? Lees dan ook onze eerdere blogs uit deze serie:

Voldoen aan de AVG. Waar moet ik beginnen?

Bescherming persoonsgegevens, wie is verantwoordelijk? 

Vier valkuilen bij de bescherming van persoonsgegevens onder de AVG

Hoe zorg ik dat ik een datalek op tijd herken?

De vier belangrijkste gevaren van Shadow IT

 

Rian van Dijk