Het beschermen van de privacy van klanten, inwoners of patiënten. Essentieel voor uw organisatie. Toch? In de praktijk blijkt de positie van de interne toezichthouder onvoldoende verankerd. Terwijl deze in veel gevallen door de AVG verplicht is. Daarom komt de Autoriteit Persoonsgegevens nu met nieuwe uitgangspunten voor de positionering van de functionaris gegevensbescherming (FG).
FG: wat houdt die functie ook alweer in?
De functionaris gegevensbescherming vervult een belangrijke functie. Hij of zij is er om binnen de organisatie de persoonsgegevens van mensen te beschermen en om de privacywetgeving na te leven.
De FG is dus eigenlijk de toezichthouder rondom de omgang met privacy binnen uw organisatie. Het moet dan ook een écht onafhankelijke positie binnen de organisatie zijn.
Voorkom privacy problemen: positioneer de FG intern beter
In de AVG staan uiteraard alle eisen over de positionering van de FG. Uit onderzoek van de Autoriteit Persoonsgegevens (AP) blijkt echter dat FG’s niet altijd in staat worden gesteld om hun werk goed te kunnen doen.
Ze worden niet of te laat betrokken, ontvangen niet de juiste stukken of krijgen onvoldoende tijd om hun werk te doen.
Daarom heeft de AP concrete uitgangspunten opgesteld voor een betere interne positionering van de FG binnen organisaties.
Uitgangspunten voor een betere positionering van de FG
In een uitgebreid document heeft de AP 8 uitgangspunten voor de interne positionering van de FG benoemd.
De belangrijkste uitgangspunten op een rij.
Betrek de FG in een vroeg stadium bij de (door)ontwikkeling van producten en diensten. Zeker als het de verwerking van persoonsgegevens betreft.
De FG bekleedt een zichtbare positie binnen de organisatie. Hij is direct aanspreekbaar voor personen binnen én buiten de organisatie.
Worden er privacy risico’s gesignaleerd? Dan grijpt de FG in en spreekt de organisatie hierop aan.
Onafhankelijkheid is het sleutelwoord voor het optimaal kunnen functioneren van de FG.
Zijn er contacten tussen de AP en de organisatie? Dan heeft de FG een centrale positie en is volledige op de hoogte van alle communicatie. Hij of zij kan echter niet namens de organisatie spreken, omdat de FG onafhankelijk is.
Wanneer heeft u een functionaris gegevensbescherming nodig?
Voor overheidsinstanties en publieke organisaties (gerechtelijke instanties uitgezonderd) is het hebben van een FG verplicht. Daarnaast bent u in de volgende gevallen verplicht een FG aan te stellen (ongeacht of u onder de AVG Verantwoordelijke of Verwerker bent):
als de organisatie hoofdzakelijk doet aan verwerkingen die – kort gezegd – regelmatige en stelselmatige observatie op grote schaal vereisen, denk bijvoorbeeld aan cameratoezicht, profilering of de monitoring van iemands gezondheid; of
als de organisatie zich hoofdzakelijk toelegt op grootschalige verwerking van bijzondere persoonsgegevens en gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid, ras, politieke opvatting of geloofsovertuiging.
Het is ook mogelijk om op vrijwillige basis een FG aan te stellen. Hij of zij volgt dan dezelfde regels als de verplichte FG, maar dan zonder de wettelijke verplichting.
De AP voert controles uit op het hebben van een onafhankelijke FG. Indien uw organisatie geen FG heeft, maar hiertoe wel wettelijk verplicht is, kan er (vaak nadat er eerst een termijn is gegeven om alsnog aan de verplichting te voldoen) door de AP een boete worden opgelegd.
Een FG aanmelden?
Dat kan via de website van de Autoriteit Persoonsgegevens.
Blijf op de hoogte!
Op de hoogte blijven van deze en andere ontwikkelingen in ICT Recht? Abonneert u zich dan nu op onze maandelijkse nieuwsbrief.