21 februari 2017

Avg deel 1: Functionaris voor de Gegevensbescherming (FG, Data Protection Officer of DPO)

ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG), EUROPA, INTERNATIONALE DATASTROMEN, PRIVACY, HELPDESK JURIDISCH, VERTROUWEN
Functionaris voor de Gegevensbescherming

Dit is het eerste artikel in de serie over de Algemene verordening gegevensbescherming (Avg). In deze serie besteden we aandacht aan een aantal grote veranderingen op privacy-gebied waarmee ICT-bedrijven geconfronteerd gaan worden. Reden van deze veranderingen zijn de nieuwe Europese privacyregels uit de GDPR (General Data Protection Regulation); de Avg. Bedrijven krijgen tot 25 mei 2018 de tijd om hun bedrijfsvoering op de Avg aan te passen.

Meer informatie over de achtergrond van de Avg is te vinden in onze Data Pro Academy. Kijk voor hulp bij de implementatie van de Avg op de Helpdesk Avg.

In dit eerste deel van de serie over de Avg aandacht voor de Functionaris voor de Gegevensbescherming (FG).

Wat is een FG?

Een FG is kort gezegd een interne toezichthouder op de verwerking van persoonsgegevens. In de praktijk wordt ook vaak de Engelse term gebruikt: Data Protection Officer, afgekort: DPO.

Ook onder de huidige wetgeving bestond al de mogelijkheid tot het aanstellen van een FG. De FG houdt toezicht op de toepassing en naleving van de privacy-wetgeving. Heeft een organisatie een FG, dan houdt de Autoriteit Persoonsgegevens (AP) als nationale toezichthouder alle bevoegdheden, maar de AP stelt zich terughoudend op bij organisaties met een FG.

Nieuw in de Avg is dat de FG verplicht gaat worden gesteld voor een groot aantal organisaties.

Wie zijn straks verplicht tot het hebben van een FG?

Er zijn drie soorten organisaties die onder de verordening verplicht zijn een FG te hebben:

  1. De overheid
  2. Organisaties die hoofdzakelijk belast zijn met het doen van verwerkingen die vanwege hun aard, hun omvang en/of doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen
  3. Organisaties die hoofdzakelijk belast zijn met het op grote schaal verwerken van bijzondere gegevens

Als je meer wilt weten over de begrippen die hier genoemd worden (zoals ‘bijzondere gegevens’ of ‘hoofdzakelijk belast zijn met’) of als je een idee wilt krijgen of jouw organisatie mogelijk een FG nodig heeft, doe dan hier de FG-quickscan van Nederland ICT.

Voor ICT bedrijven komt het erop neer dat veel van hen straks mogelijk een FG moeten hebben. Gedacht kan worden aan SaaS-leveranciers van ziekteverzuimsoftware of andere software waarin bijzondere gegevens staan, leveranciers van telecommunicatiediensten, bedrijven die doen aan behavioural advertising, aanbieders van diverse ‘smart devices’, et cetera.

Ook als je daartoe niet verplicht bent, kun je er als organisatie voor kiezen een FG te benoemen.

Wat zijn de taken van een FG?

De taken van de FG zoals die worden omschreven in de Avg en blijken uit een nadere toelichting van de Europese AP’s zijn (ten minste) de volgende:

  • Creëren van privacy-bewustzijn in de organisatie:
    • Het informeren en adviseren van de organisatie over de verplichtingen op grond van privacy-wetgeving (denk aan: fungeren als sparringpartner voor management en de business op het gebied van privacy en gegevensbeveiliging en geven van concrete adviezen op dit punt).
    • Bewustmaking en opleiding van het betrokken personeel (bijvoorbeeld door het geven van interne trainingen en verzenden van informatie per e-mail).
  • Actief betrokken bij de wijze waarop wordt omgegaan met gegevens:
    • Eén van de andere begrippen die in deze serie over Avg aan de orde gaat komen is de Privacy Impact Assessment (PIA). Dit is een beoordeling die sommige organisaties zullen moeten doen voordat zij een nieuw soort gegevensverwerking gaan doen. De FG kan bij de PIA assisteren, bijvoorbeeld door mee te denken over het wel of niet uitvoeren van een PIA, de wijze waarop de PIA uitgevoerd moet worden en het beperken van risico’s die kleven aan de gegevensverwerking, analyseren of de PIA correct is uitgevoerd.
  • Overige toezichtstaken:
    • Toezien op de naleving van de privacy-wetgeving, het eigen interne privacy-beleid en audits (hier komt de toezichthoudende functie tot zijn recht).
    • Samenwerken met de Autoriteit Persoonsgegevens (AP)
    • Functioneren als (eerste) aanspreekpunt en sparringpartner voor de AP

Onder de oude privacywet moesten gegevensverwerkingen gemeld worden bij de AP. Onder de verordening vervalt die meldplicht en dienen alle organisaties die daartoe gehouden zijn zelf een register van gegevensverwerkingen bij te houden. Zie daarvoor het artikel over accountability en de documentatieplicht later in deze serie. Het bijhouden van dit register is primair de verantwoordelijkheid van de organisatie zelf, maar deze taak kan ook worden uitbesteed aan de FG. Ook kan de FG het register gebruiken om zijn taken goed te kunnen doen.

Bij de uitvoering van zijn taken dient de FG rekening te houden met het aan de gegevensverwerking verbonden risico, en met de aard, de omvang, de context en de verwerkingsdoeleinden. Met andere woorden: hij is zich bewust van het soort verwerkingen dat bij of voor de organisatie plaatsvindt en past zijn adviezen en toezicht daarop aan.

Welke eisen worden er gesteld aan een FG?

Een FG moet aan veel eisen voldoen. Zo moet hij volgens de Avg voldoende deskundig zijn en over voldoende professionele kwaliteiten beschikken om de hiervoor genoemde taken te kunnen uitvoeren. De FG moet in het bijzonder deskundig zijn op het gebied van gegevensbescherming zowel qua wetgeving als de praktijk. In praktijk betekent dit dat FG’s:

  • Ervaring moeten hebben met nationale en Europese privacywetgeving en gebruiken, inclusief uitgebreide kennis van de Avg.
  • Verstand moeten hebben van de gegevensverwerkingen die de organisatie uitvoert.
  • Verstand moeten hebben van IT en beveiliging van gegevens.
  • Kennis moeten hebben van de desbetreffende sector en organisatie.
  • In staat moeten zijn om binnen de organisatie beveiliging van data te promoten.
  • Betrouwbaar moeten zijn (zij zijn verplicht tot geheimhouding).

Op dit moment worden er diverse opleidingen tot ‘FG’ aangeboden. Er bestaat echter nog geen ‘standaard’ certificaat. Uiteraard is het wel van belang dat de FG die u als organisatie benoemt voldoende kennis heeft en daarbij kan het halen van (niet officieel erkende) certificaten wel helpen.

Wat is de positie van een FG binnen de organisatie en wat moet ik doen om de FG te faciliteren?

De FG zal niet persoonlijk worden aangesproken op het moment dat de organisatie niet compliant blijkt te zijn. Uit de Avg blijkt dat het bedrijf zelf degene is die moet kunnen aantonen dat de gegevensverwerking voldoet aan de eisen uit de Avg.

De FG moet zijn taken onafhankelijk kunnen uitvoeren. Dat betekent dat:

  • De FG geen instructie mag krijgen van de organisatie met betrekking tot de uitvoering van zijn taken als FG.
  • De FG niet mag worden ontslagen of gestraft voor de uitvoering van zijn taken (vergelijkbaar met een lid van de ondernemingsraad).
  • De FG rechtstreeks verslag doet aan de hoogste leidinggevende van de organisatie.

De organisatie zal de FG ook in staat moeten stellen om zijn taken goed uit te voeren. Dat houdt in dat:

  • De FG door de organisatie tijdig wordt betrokken bij alles dat te maken heeft met de bescherming van persoonsgegevens (denk aan: het betrekken van de FG in een zo vroeg mogelijk stadium van de gegevensverwerking, betrekken van de FG als sparringpartner bij discussies over gegevensverwerkingen, ook op managementniveau, en direct betrekken van de FG bij datalekken).
  • De organisatie de FG ondersteunt bij de vervulling van zijn taken door zo nodig:
    • de FG toegang te geven tot persoonsgegevens en verwerkingsactiviteiten;
    • de FG de benodigde middelen ter beschikking te stellen voor het vervullen van zijn taken (denk aan: voldoende tijd voor uitvoeren taken, voldoende steun vanuit management, voldoende financiële middelen, infrastructurele faciliteiten (locatie, materialen) en zo nodig ondersteunend personeel, toegang binnen de organisatie voor zowel verkrijgen van informatie en input als benodigde ondersteuning, voldoende bekendheid binnen de organisatie wie de FG is en hoe hem te bereiken)
    • de FG de benodigde middelen ter beschikking te stellen voor het in stand houden van zijn deskundigheid (geven van tijd en geld voor training en opleiding)

Een FG heeft geen formele sanctiebevoegdheden. Maar doordat de organisatie vergaand verplicht is medewerking te verlenen, heeft een FG wel controlebevoegdheden en moet in staat worden gesteld om ruimtes te betreden, zaken te onderzoeken en inlichtingen en inzage te vragen.

Wie kan ik benoemen tot FG en kan ik ook een externe FG benoemen?

In principe kan ieder personeelslid dat voldoet aan de eisen tot FG worden benoemd.

Let op: een FG mag geen conflicterend belang hebben. Een conflicterend belang zal zich al snel voordoen als de FG tevens een senior management functie heeft (denk aan CEO, CFO, CMO, hoofd marketing, hoofd HR, hoofd IT). Ook anderen binnen het bedrijf kunnen een conflicterend belang hebben als zij zelf inhoudelijk betrokken zijn bij gegevensverwerkingen.

Daarnaast bestaat de mogelijkheid tot het benoemen van een externe FG. Dat kan op grond van een dienstverleningsovereenkomst met een persoon of organisatie. Ook de externe FG zal moeten voldoen aan de hiervoor genoemde eisen. Daarnaast is van belang dat, ook als er gewerkt wordt met een organisatie die een heel team van FG’s ter beschikking stelt, er één FG als hoofdcontactpersoon wordt benoemd voor de organisatie. Die persoon wordt dan het centrale aanspreekpunt, maar kan uiteraard terugvallen op de rest van het team.

Kan ik samen met anderen één FG benoemen?

Ja, dat kan, mits de FG voor iedereen eenvoudig toegankelijk is. Dat geldt dan zowel voor personen vanuit de organisatie, als voor betrokkenen die contact zoeken met de desbetreffende FG als voor de betrokken autoriteiten. Daarbij kan gedacht worden aan fysiek op de vestiging aanwezig zijn of bijvoorbeeld een “FG-hotline”.

Tijd en taal kunnen daarbij een barrière zijn. Een FG die in zijn eentje 500 vestigingen bedient die allemaal zeer complexe gegevensverwerkingen doen, zal al snel zijn taken niet goed meer kunnen uitvoeren door tijdgebrek. Ook zal een FG die uitsluitend de Nederlandse en Engelse taal machtig is niet snel FG kunnen zijn voor een Frans bedrijf, zeker niet als persoonsgegevens van Franse burgers worden verwerkt.

Hoe stel ik een FG aan?

Zodra je als organisatie iemand als FG hebt aangewezen, moet je zijn of haar contactgegevens bekend maken zowel binnen de organisatie als buiten de organisatie richting degenen wiens persoonsgegevens je verwerkt. Dat doe je onder meer door deze in je privacy-statement op te nemen.

Daarnaast moeten de up to date contactgegevens van de FG worden doorgegeven aan de Autoriteit Persoonsgegevens. Dat kan via een speciaal aanmeldformulier. Zie voor meer informatie over de huidige FG en het aanmeldformulier de website van de AP. Overigens is het ook mogelijk om meerdere FG’s aan te wijzen. In dat geval moet iedere FG worden aangemeld bij de AP.

Heb ik een FG nodig?

Doe hier de quickscan van Nederland ICT om te zien of jouw organisatie waarschijnlijk wel of waarschijnlijk niet een FG nodig heeft.

Wat als ik nog vragen heb?

Via de Helpdesk Avg geven onze juristen onder meer advies en ondersteuning bij vraagstukken op het gebied van privacy. Nederland ICT organiseert ook verschillende workshops en bijeenkomsten. Leden van Nederland ICT kunnen kosteloos deelnemen. Ben je nog geen lid en wil je ook profiteren van deze en vele andere mogelijkheden van het lidmaatschap? Bekijk de voordelen!

Wil je regelmatig een update ontvangen met nieuws, publicaties en andere informatie over de Avg? Meld je dan aan voor onze nieuwsbrief Avg.