FERM achtergronden

AVG en de Functionaris voor de gegevensbescherming (FG)

- 18 May 2018

Over een week is het 25 mei en is de Algemene verordening gegevensbescherming (AVG) officieel van kracht. Als organisatie ben je als onderdeel van de nieuwe privacywetgeving mogelijk verplicht om een Functionaris voor de gegevensbescherming (FG) aan te stellen. De functie moet bovendien bij de Autoriteit Persoonsgegevens (AP) aangemeld worden.

Functionaris voor de gegevensbescherming (FG): wat is het?

De AVG biedt een gemoderniseerd, op verantwoording gebaseerd kader voor de naleving van regels rond gegevensbescherming in de EU. Functionarissen voor gegevensbescherming zullen in dat nieuwe kader voor veel organisaties centraal staan om naleving van de bepalingen mogelijk te maken. Met andere woorden, een FG is iemand die binnen de organisatie toezicht houdt op toepassing en naleving van de privacywetgeving.

Het concept FG is niet nieuw. Hoewel de Wbp het als huidige wetgeving (lees: tot 25 mei 2018) geen enkele organisatie verplicht om een functionaris voor gegevensbescherming aan te stellen, is het de voorbije jaren in verschillende lidstaten van de EU toch de gewoonte geworden om een functionaris voor gegevensbescherming aan te stellen. De functie wordt gezien als de hoeksteen van de verantwoording, waarbij het aanstellen van een FG naleving van privacywetgeving kan vereenvoudigen en bovendien een concurrentievoordeel voor bedrijven kan vormen, vanuit het idee dat privacy dé business case is van nu.

Wanneer zijn organisaties verplicht om een FG aan te stellen?

Vanuit de AVG zijn bepaalde organisaties wel verplicht om een FG aan te duiden. Om concreet de letter van de wet (artikel 37, lid 1) aan te halen, is de aanwijzing van een functionaris voor gegevensbescherming verplicht:

a) wanneer de verwerking door een overheidsinstantie of overheidsorgaan wordt verricht;
b) wanneer de kerntaken van de verwerkingsverantwoordelijke of de verwerker bestaan uit verwerkingen die regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen;
c) wanneer de kerntaken van de verwerkingsverantwoordelijke of de verwerker bestaan uit verwerking op grote schaal van speciale categorieën van gegevens of van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten.

De verplichting geldt daarmee ten eerste voor alle overheidsinstanties en publieke organisaties. Naast de rijksoverheid, provincies en gemeenten zijn dat dus ook zorg- en onderwijsinstellingen.

Daarnaast zijn organisaties die op grote schaal mensen volgen of profileren verplicht om een FG aan te stellen. Denk aan verzekeraars en beveiligingsbedrijven.

Tot slot maakt verwerking van bijzondere persoonsgegevens het verplicht om een FG te benoemen. Dat zijn bijvoorbeeld gegevens over gezondheid, ras, geloofsovertuiging of strafrechtelijk verleden.

Vrijwillig een FG aanstellen

Ook wanneer een organisatie niet aan één of meer van de drie voorwaarden voldoet en een FG dus niet specifiek verplicht is, kan het mogelijk wel interessant zijn om op vrijwillige basis een functionaris voor gegevensbescherming aan te wijzen. De Groep Gegevensbescherming, een onafhankelijk Europees adviesorgaan inzake gegevensbescherming en privacy dat onder meer belast is met de richtlijnen voor de FG, moedigt dat zelfs aan. Bijvoorbeeld voor bedrijven die overheidstaken uitvoeren zoals energiebedrijven, woningcorporaties en openbaarvervoerbedrijven.

Voor de vrijwillig aangestelde FG gelden dezelfde regels als voor de verplichte FG, als het gaat om het takenpakket en de professionaliteit van de functie.

FG online aanmelden bij de Autoriteit Persoonsgegevens

Alle organisaties die verplicht zijn om een FG aan te stellen, zijn verplicht om die functionaris aan te melden bij de AP. Alleen aanmelding via het webformulier, het online aanmeldingsformulier functionaris voor de gegevensbescherming (FG) op de website van de AP is geldig. Organisaties die hun FG al eerder op andere wijze hebben aangemeld, moeten dat opnieuw doen. FG-aanmeldingen die niet via het online formulier zijn gedaan, komen na 25 mei 2018 te vervallen. Ook een vrijwillig aangestelde FG moet bij de AP aangemeld worden.

De formele richtlijnen voor de Functionaris voor de gegevensbescherming zijn opgesteld door de eerdergenoemde Groep Gegevensbescherming en te vinden via deze link (PDF).

 

LEES OOK: hoe maak ik een verwerkingsregister?