> Wanneer is een FG verplicht?

In deze serie blogs geven wij aan wat de tien belangrijkste veranderingen zijn die de nieuwe Europese privacywet, de Algemene Verordening Gegevensbescherming (AVG) met zich meebrengt.

In dit blog: tien vragen over de Functionaris Gegevensbescherming.  

1. Wat is een Functionaris Gegevensbescherming, of FG?

Een FG is een persoon die wordt benoemd om intern toezicht te houden op de naleving van de AVG. De FG neemt als ware een deel van het toezicht over van de toezichthouder (de Autoriteit Persoonsgegevens).

2. Wanneer is het verplicht om een FG te benoemen?

Met de nieuwe privacywet, de Algemene Verordening Gegevensbescherming (AVG) komt voor sommige organisaties een verplichting om een FG te benoemen. Die verplichting geldt voor zowel verantwoordelijken als voor verwerkers.

In de volgende gevallen is er op grond van de AVG een verplichting om een FG te benoemen: 

  • Overheidsinstanties en overheidsorganen zijn verplicht een FG te benoemen (behalve gerechtelijke organisaties bij de uitoefening van hun gerechtelijke taken).

  • Als de kernactiviteiten van de organisatie draaien om het gebruik van bijzondere persoonsgegevens op grote schaal,  

denk hierbij bijvoorbeeld aan ziekenhuizen, huisartsenposten, apotheken (behalve bij solistisch werkende zorgverleners) of bedrijven die medische onderzoeken uitvoeren.

De Autoriteit Persoonsgegevens geeft verder expliciet aan dat huisartsenpraktijken en instellingen voor medisch specialistische zorg bijzondere persoonsgegevens ‘op grote schaal’ verwerken als:

a. De praktijk of instelling meer dan 10.000 patiënten heeft inschreven óf als deze gemiddeld meer dan 10.000 patiënten per jaar behandelt;

EN b. de patiëntgegevens in één systeem staan. 

  • Als de kernactiviteiten van de organisatie draaien om het gebruik van persoonsgegevens dat door de aard van dat gebruik, de omvang daarvan en/of de doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokken personen eisen.

Hieronder valt bijvoorbeeld het op grote schaal:

  • tracken en opbouwen van profielen van mensen via het internet;
  • opbouwen van profielen en scores, bijvoorbeeld voor kredietchecks, het aangaan van verzekeringen of voorkoming van fraude;
  • bijhouden van locatiegegevens;
  • toepassen van behavioral advertising;
  • bijhouden van gegevens via draagbare apparaten. 

3. Wat is een verwerking 'op grote schaal'?

 Bij de vraag wat een verwerking op 'grote schaal is' moet naar de volgende punten worden gekeken:

  • om hoeveel persoonsgegevens gaat het?
  • om hoeveel betrokkenen gaat het?
  • hoe lang worden de gegevens verwerkt?
  • waar worden de gegevens verwerkt - hoe groot is de geografische dekking daarvan?

4. Is het alleen dan verplicht?

In principe wel.

Maar, voor Nederland kan nog worden bepaald dat een FG verplicht is voor bepaalde verenigingen of andere organen die verantwoordelijken of verwerkers vertegenwoordigen. Op het moment van het publiceren van dit blogbericht, is dit nog niet bekend voor Nederland.

Een organisatie kan ook altijd vrijwillig een FG aanwijzen. Voor die FG gelden dan dezelfde regels en taken als voor de verplicht benoemde FG.

5. Kan voor een concern één FG worden benoemd?

Ja, dat kan.

De voorwaarde hiervoor is wel dat de FG makkelijk bereikbaar en beschikbaar is voor alle ondernemingen binnen de groep.

6. Moet de FG altijd een werknemer zijn?

Nee, de FG mag maar hoeft geen werknemer te zijn.

Het is dus mogelijk om een externe persoon aan te wijzen als FG. Aanbevolen wordt dan om een contract te sluiten met een externe persoon waarin duidelijk zijn of haar verantwoordelijkheden worden omschreven.

7. Moet een FG aan bepaalde eisen voldoen?

Ja.

Op grond van de AVG moet de FG in voldoende mate beschikken over kwaliteiten en kennis op het gebied van het privacyrecht en de praktijk van de verwerking van persoonsgegevens.

Verder moet de FG in voldoende mate op de hoogte zijn van diens taken, de processen rond het gebruik van de gegevens begrijpen, begrip hebben van informatietechnologie en beveiliging, kennis van de sector en de organisatie en een privacy-compliance cultuur binnen de organisatie kunnen bevorderen.

Op het moment van het maken van dit blogbericht zijn er geen officiële eisen in de zin van een certificering om FG te worden. 

8. Wat zijn de taken van een FG?

In de AVG staat dat de FG in ieder geval de volgende taken heeft:

  • de organisatie informeren over de verplichtingen op grond van de AVG;
  • toezien op naleving van de verplichtingen;
  • bewustmaking en opleiding van de medewerkers die betrokken zijn bij het verwerken van de persoonsgegevens en het uitvoeren van audits;
  • op verzoek advies geven over uitgevoerde privacy impact assessments (PIA´s) en toezien op de uitvoering daarvan;
  • samenwerken met de privacy toezichthouder;
  • optreden als contactpunt voor de privacy toezichthouder, onder andere bij datalekken.

De organisatie die de FG heeft benoemd, moet de FG ondersteunen in zijn of haar werkzaamheden en zorgen dat de FG wordt betrokkene bij de aangelegenheden die verband houden met het verwerken van de persoonsgegevens.

De FG moet zijn of haar taak daarnaast onafhankelijk kunnen uitvoeren, kan niet worden ontslagen wegens zijn of haar taken als FG en rapporteert aan het management.

9. Moeten de contactgegevens van de FG bekend worden gemaakt?

Ja.

De contactgegevens van de FG moeten worden medegedeeld, aan de Autoriteit Persoonsgegevens.
Dat kan via dit meldingsformulier: https://autoriteitpersoonsgegevens.nl/nl/aanmeldenfg. Ook als er voor 25 mei 2018 al een FG was aangemeld, moet deze opnieuw worden aangemeld bij de Autoriteit Persoonsgegevens.
 


Daarnaast moeten deze gegevens op worden genomen in de privacy-verklaringen zodat de betrokken personen makkelijk contact op kunnen nemen met de FG. De naam van de FG kan, maar hoeft niet in de privacyverklaring te worden vermeld.

Ook moeten de naam en contactgegevens van de FG op worden genomen in het register van verwerkingen.

10. Is de FG persoonlijk aansprakelijk bij niet-naleving van de privacywet?

Nee.

Een FG kan niet persoonlijk aansprakelijk worden gehouden voor niet-naleving van de privacywet door de organisatie die hem of haar heeft benoemd.

Bent u zelf een FG?

Dan zijn onze privacy producten ook interessant voor u.

Onze producten kunnen u helpen bij het opzetten van een privacy-beleid.

Een goed startpunt is ons Ebook In 8 stappen voorbereiden op de nieuwe privacywet.

 

Actiepunt: indien nodig een Functionaris Gegevensbescherming benoemen.

 

Developed by Structura. Powered by nopCommerce. Copyright 2019 Smith&Doe. Alle rechten voorbehouden.