Een Functionaris Gegevensbescherming, wat is dat?
Het is belangrijk om te weten of jouw organisatie een Functionaris Gegevensbescherming (hierna: ‘FG’) nodig heeft, ook wel een ‘Data Protection Officer‘ genoemd. Een FG heeft een belangrijke rol in jouw organisatie op het gebied van gegevensbescherming. Zoals informeren, adviseren en toezien op de verplichtingen uit de AVG
Eigenlijk is de FG een soort interne toezichthouder en adviseur. De FG kan bijvoorbeeld controleren of bepaalde interne voorschriften wel worden nageleefd. Maar de FG kan ook adviseren over nieuwe ideeën die de organisatie heeft, waarbij persoonsgegevens worden verwerkt. Dit advies is dan niet altijd doorslaggevend. Maar je moet het wel serieus nemen en goed onderbouwen wat je met het advies hebt gedaan en waarom. Ook speelt de FG een rol bij de (verplichte) DPIA’s.
Wat zijn de vereisten van een FG?
Een FG is binnen de organisatie is onafhankelijk en moet vrijelijk advies kunnen geven over het te voeren gegevensbeschermingsbeleid. De FG die je aanstelt hoeft geen volleerd jurist of privacy expert te zijn. Maar moet wel enige kennis van zaken en ervaring hebben met betrekking tot het Nederlandse en Europese recht. Ook moet een FG voldoende kennis van de AVG hebben. Daarnaast moet je FG natuurlijk toegang en kennis tot de bedrijfsprocessen hebben zodat hij inzicht heeft in hoe hij kan informeren, toezien en advies kan geven. Ten slotte is het verstandig je FG de kansen en mogelijkheden te bieden op de hoogte te blijven van nieuwe ontwikkelingen rondom gegevensbeschermingsbeleid. Geef haar of hem dus de ruimte zichzelf (bij) te scholen.
Als verwerkingsverantwoordelijke dien je je FG bepaalde waarborgen te verzekeren. Hij dient bijvoorbeeld geen instructies aan hoeven te nemen met betrekking tot het uitoefenen van zijn taken. Hij kan niet zomaar ontslagen worden door de uitvoering van zijn taken als FG en er mag geen belangenconflict zijn tussen mogelijke andere taken en verplichtingen binnen de organisatie. Mocht er binnen je organisatie iets fout gaan inzake gegevensbescherming is de verwerkingsverantwoordelijke alsnog verantwoordelijk en niet de FG.
Het is natuurlijk goed mogelijk dat je zelf niemand in huis hebt die de rol van FG kan, mag of wil vervullen. Dan is de externe FG een oplossing. ISPE biedt deze dienst ook aan.
Hebben wij een FG nodig?
Zoals gezegd zijn er verschillende omstandigheden die bepalen of je wel of geen FG moet aanstellen. En er is ook nog een groot grijs gebied. Ben je benieuwd of je binnen jouw organisatie een FG nodig hebt, of wil je gewoon meer weten of dit onderwerp? Neem dan contact met ons op!
