Aanstellen functionaris gegevensbescherming
Op 25 mei 2018 wordt de Algemene verordening gegevensbescherming (AVG) van kracht. Bepaalde organisaties zijn dan verplicht om een functionaris voor gegevensbescherming (FG) aan te stellen. Welke organisaties hebben zo’n verplichting en… wat is de taak van zo’n functionaris?
Twee namen voor dezelfde functie
In de artikelen over de invoering van de AVG worden twee verschillende namen gebruikt voor steeds dezelfde functie: Data Protection Officer (DPO) en Functionaris gegevensbescherming (FG). Feitelijk gaat het om dezelfde functie met dezelfde wettelijke taken.
Wanneer is aanstelling FG of DPO verplicht?
De verplichting om een FG-er aan te stellen is niet nieuw. Ook onder de huidige Wet bescherming persoonsgegevens (Wbp) zijn er al FG-ers werkzaam, al worden de taken na 25-5-2018 uitgebreider.
De verplichting om een FG of DPO aan te stellen geldt in ieder geval voor:
- overheidsinstanties en publieke organisaties, zorg- en onderwijsinstellingen, ongeacht het type gegevens dat ze verwerken;
- organisaties die als kernactiviteit op grote schaal mensen volgen en hun persoonsgegevens verwerken, zoals ziekenhuizen, of een bedrijf dat zich bijvoorbeeld toelegt op cameratoezicht, of gegevens over fitheid verwerkt;
- organisaties die als kernactiviteit op grote schaal bijzondere persoonsgegevens verwerken, zoals gegevens over ras, politieke opvatting, gezondheid, geloofsovertuiging of strafrechtelijke zaken.
Bij twijfel over het al dan niet aanstellen van een FG moet natuurlijk goed beargumenteerd worden waarom dat wel of niet aan de orde is.
Verantwoordelijkheden van de Functionaris Gegevensbescherming
De FG-er moet een natuurlijk persoon zijn; die kan intern worden benoemd of extern worden ingehuurd. De toezichthoudende taak toebedelen aan een commissie of aan de ondernemingsraad is niet toegestaan.
De FG heeft als taak intern toezicht te houden op het naleven van de AVG. Hij of zij moet informatie verzamelen over gegevensverwerkingen binnen de organisatie, de verwerkingen analyseren en beoordelen of ze aan de wet voldoen. De FG heeft ook de taak om informatie, adviezen en aanbevelingen aan de organisatie te geven. Daarmee heeft de FG-er een onafhankelijke positie en heeft hij een ontslagbescherming die vergelijkbaar is met die van een OR-lid. Hij/zij mag niet ontslagen worden omwille van de gegevensbeschermingstaak. Ook moet er voldoende waarborgen zijn dat de andere taken van de werknemer niet conflicteren met de toezichthoudende taak. Zo kan de ICT-manager niet tegelijkertijd óók de AVG-er zijn. In dat geval zou de slager zijn eigen vlees keuren.
FG’s moeten worden aangemeld bij de Autoriteit Persoonsgegevens. Die publiceert aanmeldingen van FG’s in een register.
De ondernemer blijft verantwoordelijk
Het is de ondernemer die verantwoordelijk is voor de gegevensbescherming en het correct verwerken van persoonsgegevens. De FG-er heeft daar toezicht op te houden, maar is daar niet persoonlijk verantwoordelijk voor.
Natuurlijk moet een FG-er over de nodige faciliteiten en budget kunnen beschikken om zijn taken uit te voeren. Dat geldt ook voor het op peil houden van kennis en moeten er mogelijkheden zijn om het management te ondersteunen. Bedrijven kunnen er voor kiezen om één functionaris voor meerdere bedrijfsonderdelen aan te stellen, maar die moet wel in de gelegenheid worden gesteld om in al die onderdelen vervolgens ook toezicht te houden.
De rol van de FG-er bij een Data protection impact assessment
Sommige organisatie zijn verplicht om een Data protection impact assessment (DPIA) of – in goed Nederlands – een gegevensbeschermingseffectbeoordeling uit te voeren.
Dat is in ieder geval zo als een organisatie:
- systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profiling;
- op grote schaal bijzondere persoonsgegevens verwerkt;
- op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).
Bij het uitvoeren van een DPIA is de organisatie verplicht om de FG-er om advies te vragen. Dat kan gaan om:
- de afweging om wel of niet een DPIA uit te voeren;
- de onderzoeksmethode voor de DPIA;
- de inzet van een gespecialiseerd bureau voor het doen en begeleiden van het onderzoek;
- benodigde waarborgen om risico’s voor betrokkenen te beperken;
- de vraag of de uitkomsten van de DPIA in overeenstemming zijn met de wet.
De organisatie moet in het DPIA-rapport het gegeven advies van de FG vermelden én aangeven wat er vervolgens mee is gedaan.
De voorloper van de DPIA is het huidige Privacy Impact Assessment (PIA). In hoofdstuk 3 van de handreiking zoals die door Norea – de beroepsorganisatie van IT-auditors – wordt gebruikt is wat meer zicht te krijgen op hoe zo’n onderzoek in de praktijk werkt.
https://www.norea.nl/download/?id=522
Instemmingsrecht ondernemingsraad
De invoering van AVG – en in sommige organisaties tegelijkertijd ook de invoering van de Functionaris gegevensbescherming – vraagt om de instemming van de ondernemingsraad (artikel 27, 1e lid, onderdeel k). Mogelijk is er ook samenloop met gewijzigde regelingen op het gebied van de personeelsvolgsystemen, omdat ook met die systemen persoonsgegevens worden verwerkt.
In ieder geval dient de OR vast te stellen of aan de voorwaarden die de AVG aan de organisatie stelt is voldaan. Er is geen instemmingsrecht op de persoon van de FG-er, maar dient er wel getoetst te worden of er daadwerkelijk sprake is van een onafhankelijke positie.
De Autoriteit Persoonsgegevens heeft richtlijnen voor de FG-er gepubliceerd. Die kunnen de OR behulpzaam zijn bij het beoordelen of de juiste man of vrouw in deze functie benoemd gaat worden.