Avg uitgelegd: Functionaris voor de Gegevensbescherming

In de serie Avg uitgelegd nemen we de belangrijkste begrippen uit de Avg onder de loep. Tip: wil je de basis nog eens doornemen? Begin dan bij 10 vragen en antwoorden over de Avg. In dit artikel gaan we in op de Functionaris voor de Gegevensbescherming (FG, Data Protection Officer of DPO).

Wat is een Functionaris voor de Gegevensbescherming?

Een FG is kort gezegd een interne toezichthouder op de verwerking van persoonsgegevens. In de praktijk wordt ook vaak de Engelse term gebruikt: Data Protection Officer, afgekort: DPO.

Ook onder de huidige wetgeving bestond al de mogelijkheid tot het aanstellen van een FG. De FG houdt toezicht op de toepassing en naleving van de privacy-wetgeving. Heeft een organisatie een FG, dan houdt de Autoriteit Persoonsgegevens (AP) als nationale toezichthouder alle bevoegdheden, maar de AP stelt zich terughoudend op bij organisaties met een FG.

Nieuw in de Avg is dat de FG verplicht gaat worden gesteld voor een groot aantal organisaties.

Wie zijn straks verplicht tot het hebben van een FG?

Er zijn drie soorten organisaties die onder de verordening verplicht zijn een FG te hebben:

  1. De overheid
  2. Organisaties die hoofdzakelijk belast zijn met het doen van verwerkingen die vanwege hun aard, hun omvang en/of doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen
  3. Organisaties die hoofdzakelijk belast zijn met het op grote schaal verwerken van bijzondere gegevens.

Als je meer wilt weten over de begrippen die hier genoemd worden (zoals ‘bijzondere gegevens’ of ‘hoofdzakelijk belast zijn met’) of als je een idee wilt krijgen of jouw organisatie mogelijk een FG nodig heeft, doe dan hier de FG-quickscan van NLdigital.

Voor ICT-bedrijven komt het erop neer dat veel van hen straks mogelijk een FG moeten hebben. Dan kun je denken aan SaaS-leveranciers van ziekteverzuimsoftware of andere software waarin bijzondere gegevens staan, leveranciers van telecommunicatiediensten, bedrijven die doen aan behavioural advertising, aanbieders van diverse ‘smart devices’, et cetera.

Ook als je daartoe niet verplicht bent, kun je er als organisatie voor kiezen een FG te benoemen.

Wat zijn de taken van een Functionaris voor de Gegevensbescherming?

De taken van de FG zoals die worden omschreven in de Avg en blijken uit een nadere toelichting van de Europese toezichthouders zijn (ten minste) de volgende:

Onder de oude privacywet moest je gegevensverwerkingen melden bij de AP. Onder de verordening vervalt die meldplicht en dienen alle organisaties die daartoe gehouden zijn zelf een register van gegevensverwerkingen bij te houden. Zie daarvoor het artikel over accountability en de documentatieplicht. Het bijhouden van dit register is primair de verantwoordelijkheid van de organisatie zelf, maar deze taak kan ook worden uitbesteed aan de FG. Ook kan de FG het register gebruiken om zijn taken goed te kunnen doen.

Bij de uitvoering van zijn taken dient de FG rekening te houden met het aan de gegevensverwerking verbonden risico, en met de aard, de omvang, de context en de verwerkingsdoeleinden. Met andere woorden: hij is zich bewust van het soort verwerkingen dat bij of voor de organisatie plaatsvindt en past zijn adviezen en toezicht daarop aan.

Welke eisen worden er gesteld aan een FG?

Een FG moet aan veel eisen voldoen. Zo moet hij volgens de Avg voldoende deskundig zijn en over voldoende professionele kwaliteiten beschikken om de hiervoor genoemde taken te kunnen uitvoeren. De FG moet in het bijzonder deskundig zijn op het gebied van gegevensbescherming zowel qua wetgeving als de praktijk. In praktijk betekent dit dat FG’s:

Op dit moment worden er diverse opleidingen tot ‘FG’ aangeboden. Er bestaat echter nog geen ‘standaard’ certificaat. Uiteraard is het wel van belang dat de FG die u als organisatie benoemt voldoende kennis heeft en daarbij kan het halen van (niet officieel erkende) certificaten wel helpen.

Wat is de positie van een FG binnen de organisatie en wat moet ik doen om de FG te faciliteren?

De FG wordt niet persoonlijk aangesproken op het moment dat de organisatie niet compliant blijkt te zijn. Uit de Avg blijkt dat het bedrijf zelf degene is die moet kunnen aantonen dat de gegevensverwerking voldoet aan de eisen uit de Avg.

De FG moet zijn taken onafhankelijk kunnen uitvoeren. Dat betekent dat:

De organisatie zal de FG ook in staat moeten stellen om zijn taken goed uit te voeren. Dat houdt in dat::

Een FG heeft geen formele sanctiebevoegdheden. Maar doordat de organisatie vergaand verplicht is medewerking te verlenen, heeft een FG wel controlebevoegdheden en moet in staat worden gesteld om ruimtes te betreden, zaken te onderzoeken en inlichtingen en inzage te vragen.

Wie kan ik benoemen tot FG en kan ik ook een externe FG benoemen?

In principe kan ieder personeelslid dat voldoet aan de eisen tot FG worden benoemd.

Let op: een FG mag geen conflicterend belang hebben. Een conflicterend belang zal zich al snel voordoen als de FG tevens een senior management functie heeft (denk aan CEO, CFO, CMO, hoofd marketing, hoofd HR, hoofd IT). Ook anderen binnen het bedrijf kunnen een conflicterend belang hebben als zij zelf inhoudelijk betrokken zijn bij gegevensverwerkingen.

Daarnaast bestaat de mogelijkheid tot het benoemen van een externe FG. Dat kan op grond van een dienstverleningsovereenkomst met een persoon of organisatie. Ook de externe FG zal moeten voldoen aan de hiervoor genoemde eisen. Daarnaast is van belang dat, ook als je werkt met een organisatie die een heel team van FG’s ter beschikking stelt, je één FG als hoofdcontactpersoon benoemt voor de organisatie. Die persoon wordt dan het centrale aanspreekpunt, maar kan uiteraard terugvallen op de rest van het team.

Kan ik samen met anderen één FG benoemen?

Ja, dat kan, mits de FG voor iedereen eenvoudig toegankelijk is. Dat geldt dan zowel voor personen vanuit de organisatie, als voor betrokkenen die contact zoeken met de desbetreffende FG als voor de betrokken autoriteiten. Daarbij kun je denken aan fysiek op de vestiging aanwezig zijn of bijvoorbeeld een “FG-hotline”.

Tijd en taal kunnen daarbij een barrière zijn. Een FG die in zijn eentje 500 vestigingen bedient die allemaal zeer complexe gegevensverwerkingen doen, zal al snel zijn taken niet goed meer kunnen uitvoeren door tijdgebrek. Ook zal een FG die uitsluitend de Nederlandse en Engelse taal machtig is niet snel FG kunnen zijn voor een Frans bedrijf, zeker niet als dat bedrijf persoonsgegevens van Franse burgers verwerkt.

Hoe stel ik een Functionaris voor de Gegevensbescherming aan?

Zodra je als organisatie iemand als FG hebt aangewezen, moet je zijn of haar contactgegevens bekend maken zowel binnen de organisatie als buiten de organisatie richting degenen wiens persoonsgegevens je verwerkt. Dat doe je onder meer door deze in je privacy-statement op te nemen.

Daarnaast moeten de up to date contactgegevens van de FG worden doorgegeven aan de Autoriteit Persoonsgegevens. Dat kan via een speciaal aanmeldformulier. Zie voor meer informatie over de huidige FG en het aanmeldformulier de website van de AP. Overigens is het ook mogelijk om meerdere FG’s aan te wijzen. In dat geval moet iedere FG worden aangemeld bij de AP.

Heb ik een Functionaris voor de Gegevensbescherming nodig?

Doe hier de quickscan van NLdigital om te zien of jouw organisatie waarschijnlijk wel of waarschijnlijk niet een FG nodig heeft.

Meer informatie

Onze juristen geven advies en ondersteuning bij vraagstukken op het gebied van privacy. Heb je vragen of wil je meer informatie? Kijk dan in onze kennisbank of neem contact op met onze juristen.


Deel via:

Gerelateerde artikelen

Voldoe aan de AVG met onze Privacy Academy

Met de Privacy Academy van NLdigital, exclusief voor leden, doorloop je online in negen stappen de verschillende verplichtingen die je…
Avg & privacy

3 gevaarlijke mythes over privacy en hoe je ze effectief ontkracht

Rondom privacy bestaat veel onbegrip in de samenleving. In deze blog delen we drie hardnekkige mythes over privacy om jou…
Avg & privacy

Een datalekkenprotocol: waarom is dat belangrijk?

Met een datalekkenprotocol is duidelijk wat je moet doen in het geval dat er zich een incident voordoet, weet je…
Avg & privacy