Functionele cookies

Wij plaatsen functionele cookies om deze website naar behoren te laten functioneren en analytische cookies waarmee wij het gebruik van de website kunnen meten. Deze cookies gebruiken geen persoonsgegevens.

Gepersonaliseerde informatie

Hiermee ontvangt u gepersonaliseerde informatie op onze website die wordt afgestemd op uw internetgedrag.

De mogelijkheid om vrijwillig een FG aan te stellen bestaat al in de Wet bescherming persoonsgegevens (Wbp), maar met de komst van de AVG wordt dit, in ieder geval voor alle overheidsorganen, verplicht. Wanneer jouw organisatie dus nog niet de beschikking heeft over een FG, dan wordt het de hoogste tijd om hiernaar op zoek te gaan. Jouw organisatie is namelijk niet de enige die deze functionaris moet aanstellen.

Alleen, waar moet je dan op letten? Hier lees je de drie belangrijkste aandachtspunten voor het aanstellen van een FG:

Bepaal het functieprofiel

De FG heeft een aantal belangrijke taken. Zo informeert en adviseert de FG over de verplichtingen van de organisatie op grond van de AVG en ziet hij toe op de naleving van wet- en regelgeving. Welke competenties moet een FG hebben om deze uit te oefenen?

  1. Een FG is in ieder geval thuis in de relevante nationale en Europese wetgeving op het gebied van gegevensbescherming.
  2. Een FG is op de hoogte van de IT-systemen en databeveiligingsbehoeften van de organisatie. Organisaties moeten passende maatregelen treffen om persoonsgegevens te beveiligen, dat is een belangrijke verplichting op grond van de AVG.
  3. Om goed advies uit te kunnen brengen, heeft een FG de benodigde kennis van de organisatie en de sector waarin hij actief is.
  4. Een FG is goed bereikbaar en in staat om zich als gesprekspartner op te stellen. Uiteindelijk moet de FG een cultuur van gegevensbescherming binnen de organisatie kunnen ontwikkelen.

Kijk bij het aanstellen van een FG naar de gevoeligheid, complexiteit en hoeveelheid data die er binnen jouw organisatie wordt verwerkt om het benodigde profiel te bepalen.

Positioneer de FG in de organisatie

Alleen het aanstellen van een FG is niet voldoende om aan de bepalingen van de AVG te voldoen, de FG moet ook zo gepositioneerd worden in de organisatie dat hij zijn taken kan vervullen. Aan de ene kant moet de FG voldoende betrokken worden bij de besluitvorming op het gebied van gegevensverwerkingen om zijn adviserende taak uit te kunnen oefenen. Aan de andere kant moet de onafhankelijkheid van de FG worden gewaarborgd. Waar moet je op letten bij het bepalen van de positie van de FG?

  1. Waarborg de autonomie: een FG mag geen instructies krijgen bij het uitbrengen van advies en niet ontslagen of gestraft worden voor de uitoefening van zijn taken als FG. Als er wordt afgeweken van het advies van de FG, moet de FG de mogelijkheid hebben om zijn dissenting opinion vast te leggen.
  2. Voorkom een belangenconflict: een FG mag andere rollen binnen de organisatie vervullen, maar dit mag niet tot een belangenconflict leiden. Zorg dat de FG geen andere taken of verantwoordelijkheden heeft waardoor hij beslissingen moet nemen over gegevensverwerkingen. De FG mag niet in een positie terechtkomen dat hij in feite zijn eigen werkzaamheden moet controleren. Hij mag bijvoorbeeld niet bepalen of er beveiligingscamera’s worden opgehangen of welke gegevens in een contactformulier op de website moeten staan.
  3. Geef de FG tijdig informatie: de FG moet tijdig alle relevante informatie kunnen inzien, om zo een overwogen advies te kunnen geven. Ook moet de FG worden geraadpleegd bij datalekken en andere incidenten. Stel als organisatie werkprocessen op die duidelijk maken wanneer ze de FG moeten raadplegen. Mijn tip: laat de FG het verplichte register van verwerkingen bijhouden, zo is hij altijd op de hoogte van de verwerkingen die plaatsvinden.
  4. Betrek de FG bij de besluitvorming: nodig de FG uit voor vergaderingen waar besluiten worden genomen met gevolgen voor persoonsgegevens en laat hem deelnemen aan de relevante werkgroepen binnen de organisatie. De FG moet hier wel een onafhankelijke, adviserende rol in krijgen en niet zelf verantwoordelijk worden gemaakt voor genomen besluiten.

Bepaal welke middelen de FG nodig heeft

Organisaties moeten zorgen dat de FG voldoende middelen heeft om zijn taken uit te kunnen voeren. Het is in ieder geval belangrijk om te bepalen hoeveel tijd er nodig is om de taken als FG uit te oefenen. Vinden er weinig verwerkingen plaats of zijn deze niet complex, dan kan de taak van FG naast andere rollen in de organisatie worden vervuld. Daarbij moet je wel voorkomen dat een belangenconflict kan optreden. Een andere optie is om samen te werken met andere organisaties. De AVG staat toe dat overheidsorganen samen één FG aanstellen. Aan de andere kant kunnen de verwerkingen zo omvangrijk, complex of gevoelig zijn dat het nodig is om de FG van personeel te voorzien.

De AVG eist dat organisaties zelf kunnen aantonen dat de verwerkingen van persoonsgegevens compliant zijn met de geldende privacywetgeving. Een FG is een belangrijk middel hierbij. Het tijdig aanstellen van de juiste FG, in de juiste positie binnen de organisatie en met de juiste middelen voorkomt in de toekomst datalekken en verscherpt toezicht en boetes van de Autoriteit Persoonsgegevens of rechtszaken van personen wiens gegevens onrechtmatig zijn verwerkt.

Over de auteur

"In het weekend bevind ik mij vaak op de rugbyvelden van Nederland. Dit is niet alleen een leuke manier om stoom af te blazen, maar biedt ook parallellen met werken bij EIFFEL. Iedereen heeft zijn eigen specialismen en unieke talenten, maar die worden benut om de gezamenlijke doelen te bereiken."

Neem contact op Harry Hyslop Legal consultant
06 1072 24 59
Gerelateerde artikelen
Alle artikelen