De Functionaris voor de Gegevensbescherming
Onder de AVG kan het zijn dat u verplicht bent om een Functionaris voor de Gegevensbescherming (FG) aan te stellen, ook wel Data Protection Officer (DPO) genoemd. Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG.
Het aanstellen van een FG is verplicht voor:
– overheidsinstanties en publieke organisaties
– organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen (bijvoorbeeld bij profilering van mensen voor het maken van risico-inschattingen, cameratoezicht en monitoring van iemands gezondheid via wearables)
– organisaties die zich vanuit hun kerntaak bezig houden met het op grote schaal verwerken van bijzondere persoonsgegevens (gegevens die iets zeggen over iemands gezondheid, ras, godsdienst, strafrechtelijk verleden of seksuele leven)
Organisaties waarvoor een FG niet verplicht is, kunnen ook vrijwillig een FG aanstellen.
De werkzaamheden van een FG kunnen onder meer zijn:
- toezicht houden;
- inventarisaties van gegevensverwerkingen maken;
- meldingen van gegevensverwerkingen bijhouden;
- vragen en klachten van mensen binnen en buiten de organisatie afhandelen;
- interne regelingen ontwikkelen;
- adviseren over technologie en beveiliging (privacy by design);
- input leveren bij het opstellen of aanpassen van een gedragscode.
Een FG heeft op grond van de AVG bepaalde bevoegdheden. Zo moet de FG op tijd worden betrokken bij alle aangelegenheden die te maken hebben met de bescherming van persoonsgegevens. Denk aan bijvoorbeeld een datalek. De FG heeft toegang tot alle persoonsgegevens en verwerkingsactiviteiten. De FG mag geen instructies krijgen over de manier waarop hij zijn taken uitvoert en hij heeft ontslag- en benadelingsbescherming.
Wie kan FG zijn?
De FG kan een eigen werknemer zijn maar kan ook extern worden ingehuurd, zolang hij maar voldoet aan de eisen uit de AVG. Zo moet hij voldoende deskundig zijn en over voldoende professionele kwaliteiten beschikken om zijn taken uit te kunnen voeren. Dit betekent dat de FG ervaring en kennis heeft van de AVG en andere privacywetgeving, voldoende verstand heeft van beveiliging van gegevens en kennis heeft van de organisatie en de sector.
Femke en Liesbeth hebben beide onlangs succesvol de opleiding tot FG voltooid. Interesse om eens verder te spreken over de mogelijkheden één van ons aan te stellen als externe FG? Neem vrijblijvend contact op!