Een belangrijk onderdeel van de AVG betreft de functie van de Functionaris Gegevensbescherming (FG). Deze persoon speelt een belangrijke rol in het waarborgen van de privacy binnen een organisatie. In dit artikel zetten we de taken en verantwoordelijkheden van een Functionaris Gegevensbescherming voor je op een rij.
In de huidige digitale wereld is het delen van persoonsgegevens bijna vanzelfsprekend. Daarom is het (extra) belangrijk om de privacy van individuen te beschermen. In 2018 is de Algemene Verordening Gegevensbescherming in werking getreden. Deze privacywet stelt strenge eisen aan de manier waarop organisaties omgaan met persoonsgegevens.
Taken van een Functionaris Gegevensbescherming
Een Functionaris Gegevensbescherming staat ook wel bekend als de Data Protection Officer (DPO). Deze persoon is binnen een organisatie verantwoordelijk voor het waarborgen van de privacy van persoonsgegevens. Niet alleen die van de medewerkers, maar ook die van klanten en andere externe betrokkenen.
De belangrijkste taak van een Functionaris Gegevensbescherming (FG) is het toezien op de naleving van de AVG binnen de organisatie. Daarnaast geeft de FG advies aan de organisatie over het naleven van de AVG. Ook fungeert de FG als contactpersoon voor betrokkenen en toezichthouders. Betrokkenen kunnen contact opnemen met de FG voor vragen en klachten over de verwerking van hun persoonsgegevens.
De rol van een FG gaat verder dan alleen het waarborgen van de privacy van persoonsgegevens. Het omvat ook het bevorderen van privacybewustzijn binnen de organisatie. Het is belangrijk dat medewerkers op de hoogte zijn van de AVG. Ook moeten zij begrijpen wat hun verantwoordelijkheden zijn bij de bescherming van persoonsgegevens. De FG vormt hierbij de spin in het web.
Een andere verantwoordelijkheid van de FG is het beoordelen van gegevensbeschermingseffectbeoordelingen. Deze beoordelingen helpen organisaties te begrijpen welke risico’s er zijn bij de verwerking van persoonsgegevens. Ook geven die inzicht in welke maatregelen een bedrijf moet nemen om deze risico’s te minimaliseren. De FG adviseert bij de uitvoering van deze beoordelingen inclusief de voorgestelde. Ook kan de FG een rol spelen bij de evaluatie van de effectiviteit van die maatregelen.
Een FG kan ook een actieve rol vervullen bij de beoordeling van datalekken, waaronder de vraag of een datalek gemeld moet worden bij de Autoriteit Persoonsgegevens en aan de getroffen betrokkenen.
Is een Functionaris Gegevensbescherming verplicht?
Of een FG verplicht is, hangt af van verschillende factoren.
Volgens de AVG is een organisatie verplicht om een Functionaris gegevensbescherming aan te stellen als:
- ze overheidsinstanties en publieke organisaties zijn;
- hun kernactiviteiten bestaan uit grootschalige verwerking van bijzondere categorieën van persoonsgegevens; of
- ze op grote schaal individuen volgen en profilering gebruiken om beslissingen te nemen.
Ook al ben je volgens de AVG niet verplicht een FG aan te stellen, dan kan het aanstellen van een FG verstandig zijn. Een FG biedt waardevolle kennis. Zo helpt die ervoor te zorgen dat de organisatie voldoet aan de AVG.
Het hebben van een FG helpt ook bij het opbouwen van vertrouwen bij klanten. Door het aanstellen van een Functionaris Gegevensbescherming laat je zien: het beschermen van de privacy van klanten nemen wij serieus.
Er zijn ook nadelen verbonden aan het aanstellen van een FG. De kosten bijvoorbeeld, die vooral kleinere bedrijven raken. Bedenk overigens dat de rol van een FG ook extern kan worden ingevuld, dat één FG meerdere organisaties kan dienen en dat de rol van FG dus niet voltijds hoeft te zijn. Daarnaast is het vinden van een geschikte persoon met de juiste kennis en ervaring een uitdaging.
De FG in de praktijk
Stel je voor dat je werkt voor een online winkel. Die winkel verzamelt persoonsgegevens van klanten voor marketingdoeleinden. Het bedrijf huurt een FG in.
De FG begint met het evalueren van de gegevensbeschermingsprocessen van de organisatie. Hij of zij ontdekt dat er geen procedure is voor het verwijderen van persoonsgegevens van klanten. En dat terwijl deze klanten zich hebben afgemeld voor de nieuwsbrief. Dit is een duidelijke schending van de AVG. De FG adviseert dat de organisatie een handboek opstelt voor het verwijderen van deze persoonsgegevens.
De FG zorgt er ook voor dat de organisatie weet van de verplichtingen onder de AVG. Neem het recht van betrokkenen om toegang te krijgen tot hun persoonsgegevens. De FG stelt een procedure op voor het beheren van verzoeken om toegang tot persoonsgegevens. Ook geeft de FG een training aan het personeel. Zo weten medewerkers van een organisatie onder andere hoe je deze verzoeken verwerkt.
Verder merkt de FG op dat de organisatie van plan is om een nieuwe marketingcampagne te lanceren. Hierbij gebruikt het bedrijf persoonsgegevens van klanten om gerichte advertenties te tonen. De FG kan hierover adviseren, bijvoorbeeld naar aanleiding van een uitgevoerde gegevensbeschermingseffectbeoordeling.
Hoe word je een Functionaris Gegevensbescherming?
Belangrijke eisen voor een goed functionerende FG zijn zijn:
- kennis van de AVG en andere relevante wet- en regelgeving;
- ervaring met privacybescherming en gegevensbeheer;
- ervaring met de implementatie van privacybeleid en -procedures;
- het vermogen om effectief te communiceren met diverse belanghebbenden;
- sterke communicatieve vaardigheden;
- analytische vaardigheden en het vermogen om risico’s te identificeren en te evalueren;
- een hoog niveau van professionaliteit en ethiek.
Er zijn opleidingen op het gebied van privacybescherming. Denk aan een cursus Data Protection Officer of Certified Information Privacy Professional (CIPP).
AVG Programma: ook voor FG’s
Ben jij op zoek naar een manier om snel en eenvoudig duidelijkheid te krijgen over de geldende privacyregels? Probeer dan nu AVG Programma. Met deze handige tool weet je binnen de kortste keren welke eisen er gelden en wat je moet doen om met een gerust hart persoonsgegevens te verwerken. Of je nu een klein bedrijf runt of een grote organisatie leidt, AVG Programma biedt voor elk wat wils. Ook voor FG’s is het een nuttig hulpmiddel.
Probeer AVG-support.nl 30 dagen gratis
Wil je eenvoudig voldoen aan de AVG regels? AVG-support.nl helpt je te doen wat nodig is.
- toets je organisatie en neem noodzakelijke maatregelen
- maak gebruik van alle juridische documenten
- behaal het AVG OK-vignet en laat zien dat je privacy serieus neemt
Ontdek zelf hoe het werkt. Maak een gratis proefaccount aan.
Veelgestelde vragen over de Functionaris Gegevensbescherming
Een FG ziet toe op de naleving van de AVG binnen een organisatie. Dit omvat onder andere het adviseren van de organisatie over de naleving van de Algemene Verordening Gegevensbescherming (AVG). De FG fungeert ook als contactpunt voor de Autoriteit Persoonsgegevens.
Niet elke organisatie hoeft een FG aan te stellen. Dit is alleen verplicht voor organisaties die op grote schaal persoonsgegevens verwerken. Of als de verwerking van persoonsgegevens een kernactiviteit is van de organisatie. Ook overheidsinstanties zijn verplicht om een FG te benoemen.
Een FG moet onafhankelijk zijn. Daarnaast moet de FG over voldoende kennis van privacyrecht beschikken. En de FG moet in staat zijn om de privacyrisico’s van de organisatie te beoordelen. Ten slotte is de Functionaris gegevensbescherming goed bereikbaar voor betrokkenen en de Autoriteit Persoonsgegevens.