De rol van de functionaris voor gegevensbescherming binnen de Algemene Verordening Gegevensbescherming

door | aug 2, 2018 | Archief

Inleiding
Naar aanleiding van onze nieuwsbrief ‘Korte introductie op de Algemene Verordening Gegevensbescherming’ hebben wij veel terugkoppelingen gekregen. Een vraag die daarbij vaak wordt gesteld is of het verplicht is om een ‘functionaris voor gegevensbescherming’ te hebben als organisatie. Onderstaand zal ik daarom kort ingaan op de rol van deze bijzondere functionaris binnen de AVG.

Wat is een functionaris voor gegevensbescherming?
De functionaris voor gegevensbescherming (‘FG’) houdt intern toezicht op en adviseert over de toepassing en naleving van de Algemene Verordening Gegevensbescherming (‘AVG’) door uw organisatie. Ook is de FG het aanspreekpunt voor de betrokkene (diegene van wie de gegevens worden verwerkt. Zie ook de eerdere nieuwsbrief).
Niet iedereen mag zich zomaar FG noemen. Aan de FG worden namelijk eisen gesteld. Zo dient de FG een deskundig persoon te zijn. Het benodigde niveau van kennis en expertise moet in verhouding staan tot de gevoeligheid, complexiteit en hoeveelheid persoonsgegevens die uw organisatie verwerkt en het benodigde niveau verschilt dan ook van bedrijf tot bedrijf. Daarbij dient de FG deskundig te zijn op het gebied van nationale en Europese wetgeving en de praktijk rondom de bescherming van persoonsgegevens, waaronder een diepgaand begrip van de AVG. De FG hoeft volgens de Artikel 29-werkgroep gelukkig niet alle deskundigheden zelf te bezitten en het is ook voldoende als deze deskundigheid in de vorm van een team beschikbaar is. Daarbij is het zelfs zo dat de FG ook extern kan worden aangesteld c.q. kan worden ingehuurd. Met andere woorden: de FG hoeft dus niet in (vast) dienstverband te zijn.

Welke taken heeft een functionaris voor gegevensbescherming?
De FG heeft binnen de organisatie vele taken. Hieronder treft u een overzicht van deze kerntaken:

  1. De FG informeert en adviseert over uw verplichtingen als bedrijf op grond van de AVG;
  2. De FG ziet toe op de naleving van de AVG en het interne gegevensbeschermingsbeleid;
  3. De FG moet op uw verzoek adviseren over de eventuele ‘gegevensbeschermingseffectbeoordeling’ en toezien op de uitvoering daarvan;
  4. De FG moet samenwerken met en optreden als contactpunt voor de Autoriteit Persoonsgegevens;
  5. De FG rapporteert over de uitvoering van zijn taken;

Daarbij dient de FG binnen het bedrijf goed gepositioneerd te zijn en om deze rol van FG op een adequate manier te kunnen uitvoeren dient:

  1. De FG tijdig en behoorlijk te worden betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens;
  2. De FG ondersteund te worden in de uitvoering van zijn taken;
  3. De FG onafhankelijk te zijn om de rol te kunnen vervullen;
  4. De FG door betrokkenen te kunnen worden gecontacteerd;
  5. De FG gehouden te zijn tot geheimhouding;
  6. De FG geen conflicterende belangen te hebben.

Gezien het bovenstaande heeft de FG dus een behoorlijk takenpakket en verantwoordelijkheden binnen de organisatie.

Is een FG voor iedere organisatie verplicht?

Gelukkig niet! De verplichting tot het aanstellen van een FG bestaat, indien uw organisatie aan ten minste één van de volgende drie voorwaarden voldoet;

  1. U bent een overheidsinstantie of overheidsorgaan;
  2. U bent hoofdzakelijk belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen;
  3. U bent hoofdzakelijk belast met verwerkingen die de grootschalige verwerking van bijzondere categorieën van persoonsgegevens en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten behelzen.

Voldoet uw organisatie niet aan één van bovengenoemde voorwaarden dan bent u dus ook niet verplicht om een FG aan te stellen. Het vrijwillig aanstellen van een FG is toegestaan volgens de AVG maar let op dat u er rekening mee dient te houden dat deze FG in dat geval dezelfde taken, bevoegdheden, verantwoordelijkheden en positie heeft als wanneer deze verplicht zou moeten worden aangesteld. Indien u een met de FG vergelijkbare rol instelt (bijvoorbeeld een ‘privacy officer’ of een ‘medewerker gegevensbescherming’), dan moet het binnen en buiten de organisatie duidelijk zijn dat deze persoon niet de formele rol van FG bekleedt. In sommige gevallen is het, in de beginfase van de AVG, verstandig om een FG vrijwillig in te schakelen en op die manier grip te krijgen op de gevolgen voor uw organisatie door de inwerkingtreding van de AVG per 25 mei 2018.

Concluderend
De FG is de aangewezen persoon die informeert en adviseert over de AVG binnen uw eigen onderneming. Daarbij heeft de FG een bijzondere rol en positie binnen de organisatie en is in sommige gevallen het inschakelen van een FG zelfs verplicht. Indien u niet verplicht bent een FG in te schakelen kunt u deze vrijwillig aanstellen maar dan gelden dezelfde regels als dat de FG verplicht zou zijn. Voor sommige ondernemingen is het aan te raden om (toch) vrijwillig een FG in te schakelen om op die manier grip te krijgen op de materie en gevolgen van de inwerkingtreding van de AVG per 25 mei 2018.
Heeft u naar aanleiding van dit artikel een vraag of een andere juridische vraag? Neem dan contact op met uw vaste aanspreekjurist bij Keizersgracht Juristen.
mr. K. Peusch

Bronnen:
Algemene Verordening Gegevensbescherming (AVG)
General Data Protection Regulation (GDPR)
https://autoriteitpersoonsgegevens.nl/nl
https://www.rijksoverheid.nl/ministeries/ministerie-van-justitie-en-veiligheid
https://hulpbijprivacy.nl/#top