Is een Functionaris voor de Gegevensbescherming (FG) verplicht?
De Algemene verordening gegevensbescherming (AVG) verplicht organisaties om in bepaalde situaties een Functionaris voor de Gegevensbescherming (FG) aan te stellen. Deze professional houdt binnen de organisatie toezicht op de naleving van de wet. Hoe regelt u dat?
Wanneer is een Functionaris voor de Gegevensbescherming (FG) verplicht?
De AVG beschrijft (in artikel 37) drie soorten organisaties die verplicht zijn om een FG aan te stellen:
- Overheidsorganisaties zoals gemeenten, provincies, ministeries, zorgorganisaties en onderwijsinstellingen. De rechterlijke macht is hierop uitgezonderd.
- Organisaties die vanuit hun kernactiviteiten op grote schaal bijzondere persoonsgegevens verwerken. Het gaat om bijvoorbeeld politieke partijen, vakbonden en belangengroeperingen die gevoelige persoonsgegevens verwerken (zoals omschreven in artikel 9 van de AVG).
- Organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen, zoals bedrijven die zich bezighouden met profiling, cameratoezicht en personeelsvolgsystemen.
De rol van de FG
De rol van een FG is veelzijdig. De AVG beschrijft (in artikel 39) de belangrijkste taken:
- Het informeren en adviseren van de organisatie over de verplichtingen uit de AVG.
- Het toezien op de naleving van de AVG. Hierbij gaat het bijvoorbeeld om het creëren van privacybewustzijn bij medewerkers, het opzetten van een privacyboekhouding en het afhandelen van datalekken.
- Het bepalen van de risico's bij het verwerken van persoonsgegevens, bijvoorbeeld via het uitvoeren van gegevensbeschermingseffectbeoordelingen (DPIA's).
- Het samenwerken met de nationale toezichthouder, de Autoriteit Persoonsgegevens (AP). De FG is namens de organisatie de eerste contactpersoon voor de AP.
De FG adviseert de organisatie dus over een breed scala aan aspecten van het privacy- en beveiligingsbeleid en let op de uitvoering daarvan. De FG vervult hiermee een zeer belangrijke functie richting het bestuur, de medewerkers en de klanten en stakeholders van uw organisatie.
In de AVG is accountability een kernthema. Organisaties moeten aantonen hoe zij de wet geïmplementeerd hebben, hoe de risico’s van betrokkenen zijn verminderd en hoe eventuele incidenten worden afgehandeld. Vanuit de diverse taken die de FG op zich neemt, kan een organisatie bij een eventuele inspectie van de AP makkelijker aantonen dat aan deze vereisten is voldaan.
Verplicht of vrijwillig?
De Europese privacytoezichthouders moedigen organisaties aan om vrijwillig een FG aan te stellen. Belangrijk is om hierbij te beseffen dat een vrijwillig aangestelde FG dezelfde rechten en plichten heeft als een wettelijk verplichte FG. De organisatie mag de rol van een vrijwillig aangestelde FG dan ook niet beperken.
De FG helpt de organisatie om te voldoen aan de accountability die de AVG vereist.
De vrijwillige inzet van een FG brengt voor een organisatie diverse voordelen mee:
+ De organisatie geeft intern en extern een duidelijk signaal dat de bescherming van privacy belangrijk is.
+ De FG fungeert als een centrale contactpersoon voor vragen over dataprotectie. De FG is aanspreekpunt voor betrokkenen die hun rechten uitoefenen, en voor andere belanghebbenden met vragen over de AVG.
- De FG is het directe aanspreekpunt voor de toezichthouder en houdt intern toezicht op de naleving van de privacywetgeving.
- De organisatie borgt de privacyexpertise die nodig is om bijvoorbeeld Data Protection Impact Assessments (DPIA's) uit te voeren en beleid voor gegevensbescherming te ontwikkelen en monitoren.
Een interne of externe FG?
Sommige organisaties hebben de middelen om een interne FG aan te stellen. Elke organisatie kan kiezen voor een externe FG.
De voor- en nadelen van een interne FG zijn:
+ Een interne FG is bij een fulltimefunctie goedkoper dan een externe FG.
+ Een interne FG is meestal goed bekend met de eigen organisatie, waardoor er snel geschakeld kan worden.
- Als de FG-functie niet fulltime wordt ingevuld, betekenen de taken meestal een flinke verzwaring van de werklast van een medewerker. In kleine organisaties is dit veelal moeilijk in te richten. De kosten van verplichte trainingen (die nodig zijn om kennis up-to-date te houden) kunnen verhoudingsgewijs behoorlijk oplopen.
- De medewerker die de rol van FG binnen de organisatie vervult, kan in een moeilijke positie komen omdat een interne toezichthouder zich soms kritisch opstelt over processen, werkwijzen en teams.
- Voor een intern aangestelde FG geldt een ontslagbescherming van twee jaar.
De voor- en nadelen van een externe FG zijn:
+ De organisatie heeft duidelijkheid over de kosten van de FG. Bovendien zijn er geen extra budgetten voor bijscholing nodig.
+ De organisatie voldoet gegarandeerd aan de onafhankelijkheidseis uit de AVG.
+ De externe FG is volledig gespecialiseerd in privacy en heeft op dit terrein een sterk netwerk. Ook de brede praktijkervaring binnen uiteenlopende werkomgevingen komt de organisatie ten goede.
- Een externe FG kent de organisatie niet tot in alle haarvaten. Daardoor is er (start)onderzoek nodig naar de verwerkingen, data-infrastructuur en applicaties van de organisatie.
Kortom, de aard en activiteiten van een organisatie bepalen of een FG verplicht is of niet, en of een vrijwillige FG een meerwaarde heeft voor de organisatie. De beschikbare expertise, de personele bezetting, het budget en de wensen van de organisatie zijn van invloed op de keuze om de FG-functie intern dan wel extern in te vullen.
Meer weten?
FG Support adviseert u graag over de inzet van een FG. Natuurlijk vervullen we ook met plezier de rol van externe FG, zijn we tijdelijk inzetbaar als FG, en ondersteunen we uw eigen FG.
Wilt u meer weten over onze ondersteuning bij FG-taken, of een vrijblijvende offerte ontvangen? Neem dan gerust contact met ons op.