De functionaris voor Gegevensbescherming; rol, taken en bevoegdheden

Valegis Advocaten telt met u af naar 25 mei 2018. Hierbij deel 4 in een reeks blogs over de nieuwe privacywetgeving.

De functionaris voor Gegevensbescherming; rol, taken en bevoegdheden - Valegis AdvocatenU heeft inmiddels vast gelezen over de ‘Privacy Officer’ of ‘Functionaris Gegevensbescherming’ (FG) zoals deze in het Nederlands heet. In deze blog gaan we in op wat de rol, taken en bevoegdheden van deze functionaris zijn en wanneer het verplicht is een FG te hebben.

Wat is de rol van de FG?

De FG is de persoon die binnen de organisatie toezicht houdt op de toepassing en naleving van de Algemene verordening gegevensbescherming (AVG). De FG is niet persoonlijk verantwoordelijk bij niet-naleving van de algemene verordening gegevensbescherming, dat zijn de verwerkingsverantwoordelijke (de naam zegt ’t al) of de verwerker.

De FG hoeft niet in dienst te zijn van de organisatie, het mag ook een externe adviseur zijn. Dat heeft misschien zelfs de voorkeur, omdat de FG in onafhankelijkheid zijn werkzaamheden moet kunnen verrichten. Dit betekent bijvoorbeeld dat de FG geen instructies mag krijgen over hoe hij/zij een bepaalde aangelegenheid moet behandelen, tot welk resultaat hij moet komen en hoe hij een klacht moet onderzoeken.

Bij een FG die in dienst is van een organisatie, speelt daarnaast ook dat er geen belangenconflict moet kunnen ontstaan met de ‘normale’ taken van deze werknemer. Met name functies in het hogere management (zoals CEO/CFO, hoofd marketing, hoofd Human Resources of hoofd IT), zullen meestal niet geschikt zijn als FG, omdat zij ook de doelstellingen van de gegevensverwerking bepalen.

Wat zijn de taken van de FG?

De kerntaak van de FG is erop toe te zien dat de organisatie de AVG naleeft. In dit kader moet de FG bijvoorbeeld:

  • inventarisaties van gegevensverwerkingen maken;
  • meldingen van gegevensverwerkingen bijhouden;
  • vragen en klachten van mensen binnen en buiten de organisatie afhandelen;
  • interne regelingen ontwikkelen;
  • adviseren over technologie en beveiliging (privacy by design);
  • input leveren bij het opstellen of aanpassen van een gedragscode;
  • samenwerken met de Autoriteit Persoonsgegevens (AP);
  • functioneren als (eerste) aanspreekpunt en sparringpartner voor de AP.

Wat zijn de bevoegdheden van de FG?

Een FG heeft geen sanctiebevoegdheden, maar wel controlebevoegdheden. De organisatie heeft namelijk de plicht de FG te ondersteunen bij het vervullen van zijn taken en zal de FG in staat moeten stellen ruimtes te betreden, onderzoek te verrichten en inlichtingen te vragen.

Welke eisen worden gesteld aan de FG?

Niet iedereen kan ‘zomaar’ als FG optreden. De AVG vereist dat een FG voldoende deskundig is en over voldoende professionele kwaliteiten beschikt om de hiervoor genoemde taken te kunnen uitvoeren. De FG moet een bovengemiddelde vakkennis hebben van privacywetgeving en van de praktijk van gegevensbescherming.

Wanneer wordt een FG aangesteld?

U bent in drie situaties verplicht om een FG aan te stellen.

(A) Overheidsinstanties en publieke organisaties
Ten eerste zijn overheidsinstanties en publieke organisaties verplicht om een FG aan te stellen, bijvoorbeeld de rijksoverheid, gemeenten en provincies, maar bijvoorbeeld ook sommige zorg- en onderwijsinstellingen.

(B) Verplichting
Ten tweede geldt de verplichting om een FG aan te stellen voor organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen.

(C) Een FG benoemen
Ten derde zijn organisaties verplicht een FG te benoemen als ze op grote schaal bijzondere persoonsgegevens verwerken en dit een kernactiviteit is. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden.

Wanneer uw organisatie niet verplicht is een FG aan te stellen, kunt u ervoor kiezen hiertoe vrijwillig over te gaan.

Heeft u nog vragen over dit onderwerp? Het privacyrecht team van Valegis Advocaten is u graag van dienst.

Dit artikel is geschreven door Natascha Niewold.

De verwerkersovereenkomst: wie, wat en hoe? - Valegis AdvocatenDE GEGEVENSBESCHERMINGSEFFECTBEOORDELING (DPIA) IN DE PRAKTIJK | Valegis Advocaten