De verplichte Functionaris voor Gegevensbescherming (FG)

Voor bepaalde organisaties is het aanstellen van een onafhankelijke interne toezichthouder op het gebied van privacy, de Functionaris voor Gegevensbescherming (“FG”), verplicht. De functie van FG is relatief nieuw in Nederland.

Op deze pagina kunt u meer informatie vinden over de taken van de FG. Ook geven wij u meer informatie over wanneer het inschakelen van een FG verplicht is volgens de Algemene Verordening Gegevensbescherming (“AVG”) en hoe de functie zich verhoudt tot andere privacy gerelateerde functies.

Wat zijn de taken van de Functionaris voor Gegevensbescherming?

De FG ziet toe op de naleving van de verplichtingen die worden genoemd in de AVG en andere sectorspecifieke wetgeving op het gebied van privacy. Hierbij kan gedacht worden aan het toezien op de verplichting voor een organisatie om een register van verwerkingsactiviteiten bij te houden of om (verwerkers)overeenkomsten te sluiten met (ICT-)leveranciers.

De FG heeft ook een informerende en adviserende functie. Zo adviseert de FG desgevraagd bij het uitvoeren van Data Protection Impact Assessments (DPIA’s) en bij het beoordelen en afhandelen van een datalek.

Ook informeert de FG medewerkers van een organisatie, bijvoorbeeld door het geven van workshops op het gebied van bewustwording. Tot slot functioneert de FG als contactpersoon van de toezichthouder (de Autoriteit Persoonsgegevens).

Wanneer is het inschakelen van een Functionaris voor Gegevensbescherming verplicht?

Op grond van de AVG is het aanstellen van een FG in de volgende gevallen verplicht gesteld:

• overheidsinstanties;
• organisaties die hoofdzakelijk zijn belast met verwerkingen die vanwege hun aard, omvang of doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen (hierbij kan gedacht worden aan organisaties die op grote schaal cameratoezicht inzetten);
• organisaties die hoofzakelijk zijn belast met de grootschalige verwerking van bijzondere categorieën persoonsgegevens (denk aan zorginstellingen);
• organisaties die strafrechtelijke gegevens verwerken.

Wat is het verschil tussen een Functionaris voor Gegevensbescherming en een Privacy Officer?

De FG is een functie die wettelijk is geregeld in de AVG. De AVG stelt wettelijke vereisten aan de positionering van een FG binnen de organisatie. De FG dient namelijk een onafhankelijk positie binnen een organisatie te hebben. De FG rapporteert daarom rechtstreeks aan de hoogste leidinggevende en mag niet ontslagen worden vanwege de uitoefening van zijn FG-taken. Ook is een organisatie verplicht om de FG te betrekken bij alle aangelegenheden die zien op de verwerking van persoonsgegevens en hem de benodigde middelen te verstrekken die nodig zijn om zijn taken te kunnen uitoefenen.

Een Privacy Officer is niet wettelijk geregeld in de AVG. In tegenstelling tot de FG is de Privacy Officer niet onafhankelijk. De Privacy Officer is degene die er (praktisch) voor zorgt dat een organisatie voldoet aan de verplichtingen uit de AVG. Een Privacy Officer voert bijvoorbeeld de volgende taken uit:

• het opstellen van het interne privacybeleid van de organisatie;
• het opstellen/bijhouden van een verwerkingsregister;
• het uitvoeren van DPIA’s; en
• het beoordelen en afhandelen van verzoeken van betrokkenen (zoals een inzageverzoek);
• het beoordelen en afhandelen van datalekken;
• en het opstellen van (verwerkers)overeenkomsten.

De FG mag vanwege zijn onafhankelijke positie niet zelf het privacybeleid van de organisatie opstellen. Deze ziet hier slechts op toe.

Wat kunnen wij voor u betekenen?

Heeft u (tijdelijk) een Functionaris voor Gegevensbescherming nodig? Onze gecertificeerde CIPP/E en CIPM privacyrecht advocaat ondersteunt uw organisatie graag als externe FG.