Wanneer je als bedrijf op grote schaal bijzondere persoonsgegevens verwerkt, moet je met de komst van de GDPR een FG (Functionaris voor de Gegevensbescherming) aanstellen. Vanaf 25 mei 2018 geldt de GDPR (General Data Protection Regulation). Deze verordening staat in Nederland ook wel bekend onder de naam AVG (Algemene Verordening Gegevensbescherming). Maar wie is deze functionaris? En wat doet deze functionaris?
De Functionaris voor de Gegevensbescherming houdt toezicht op de naleving van de nieuwe regels binnen de organisatie. De Engelse benaming voor deze functionaris is Data Protection Officer (DPO). Onder de Wbp (Wet bescherming persoonsgegevens) was het al mogelijk om een Functionaris voor de Gegevensbescherming aan te stellen. Echter wordt het met de komst van de GDPR voor veel organisaties verplicht om een FG aan te stellen. Wanneer je op grote schaal (gevoelige) persoonsgegevens verwerkt, is het aanstellen van deze functionaris vereist. Maar wat houdt ‘op grote schaal verwerken’ in?
Er is veel onduidelijkheid over ‘op grote schaal persoonsgegevens verwerken’.
Het aantal betrokkenen (de mensen van wie persoonsgegevens verwerkt worden), de hoeveelheid gegevens die verwerkt worden en de duur van de gegevensverwerking, zijn volgens de Autoriteit Persoonsgegevens (AP) belangrijke criteria om vast te stellen of jouw bedrijf op grote schaal persoonsgegevens verwerkt. Een voorbeeld hiervan is de telefoonprovider die jouw gegevens verwerkt over jouw internetgedrag. Of de bank die jouw klantgegevens verwerkt.
De Europese privacytoezichthouders verwachten dat er op den duur een standaard voor ‘op grote schaal verwerken’ komt. Hiermee bepaal je eenvoudig of je op grote schaal persoonsgegevens verwerkt en een FG aan moet stellen. Wanneer je weet of je wel of niet een FG aan moet stellen, zullen de door jouw ingeschakelde verwerkers dat ook moeten, omdat ze jouw data verwerken.
Een aantal belangrijke taken van een Functionaris voor de Gegevensbescherming zijn:
De Functionaris voor de Gegevensbescherming kan iemand binnen de organisatie zijn, maar ook een externe adviseur. Er is geen certificaat voor of opleiding tot Functionaris voor de Gegevensbescherming. Het is belangrijk dat de FG onafhankelijk van een organisatie kan werken. Ook mag er geen belangenverstrengeling zijn. Wanneer je bijvoorbeeld directielid bent, mag je geen Functionaris voor de Gegevensbescherming zijn binnen die organisatie.
Wanneer je een FG aanstelt, moet je zijn of haar contactgegevens publiceren en delen. Intern, binnen de organisatie, maar ook extern, met bijvoorbeeld klanten. Dit kan bijvoorbeeld door middel van een contactformulier op de website, die speciaal aan de FG geadresseerd is. De contactgegevens van deze functionaris moeten ook gedeeld worden met de AP (Autoriteit Persoonsgegevens) middels een daarvoor bestemd aanmeldformulier. Het doel hiervan is dat betrokken partijen en toezichthouders gemakkelijk en vertrouwelijk contact kunnen opnemen met de FG.
De afweging over het wel of niet aanstellen van een FG heeft nogal wat voeten in aarde. Wanneer onduidelijk is of je verplicht bent om een FG aan te stellen, moet je in ieder geval kunnen onderbouwen waarom je wel of geen FG aangesteld hebt, aldus de Autoriteit Persoonsgegevens (AP). Heb je vragen over onze FG? Of over de GDPR in het algemeen? Neem contact met ons op of bezoek onze website gdpr.eshgro.nl