Misverstand 4: Functionaris voor de Gegevensbescherming (FG)
De Functionaris voor de Gegevensbescherming (FG) wordt vaak in één adem genoemd wanneer je het hebt over de Algemene Verordening Gegevensbescherming (AVG). In de AVG is vastgelegd dat de aanstelling van een FG in sommige gevallen verplicht is, maar het is een misverstand dat een FG voor alle bedrijven verplicht is. Ook is het niet waar dat een FG alleen voor grote organisaties verplicht is. In deze blog kom je alles te weten over de FG.
Wat is een FG?
Een FG (of in het engels ‘DPO’: data protection officer) is een onafhankelijke deskundige op het gebied van gegevensbescherming die binnen een organisatie (of een aantal organisaties) wordt aangewezen om te adviseren, informeren en toezicht te houden op de naleving van de AVG. De FG is dus ook een aspect van de verantwoordingsplicht die vorige week werd genoemd.
Een FG kan een personeelslid zijn, of kan iemand van buitenaf zijn, die de werkzaamheden op basis van een dienstverleningsovereenkomst verricht. Ook bepaalt de AVG dat een concern één FG mag aanstellen, mits de FG op een praktische manier kan samenwerken met de verschillende vestigingen. Iets soortgelijks geldt voor overheidsinstanties en organen: meerdere van zulke instanties of organen kunnen samen één FG aanstellen, mits de omvang het toelaat.
De persoon die de rol van FG op zich gaat nemen, moet professionele kwaliteiten en deskundigheid bezitten op het gebied van gegevensbescherming en moet goed in staat zijn om de taken van de FG te vervullen.
Taken van de FG
Deze taken zijn: informeren en adviseren van de organisatie en de werknemers over de AVG, toezien op de naleving van de AVG, helpen bij PIA’s en optreden als aanspreekpunt voor de Autoriteit Persoonsgegevens.
Om deze taken goed te kunnen uitvoeren is in de AVG vastgelegd dat de FG toegang moet krijgen tot alle informatie die hij/zij hierbij nodig heeft. Ook mag de FG niet ontslagen of gestraft worden voor het uitvoeren van zijn taken. Daarnaast brengt de FG rechtstreeks verslag uit aan de hoogste leidinggevende van de organisatie.
FG ≠ privacy officer
Nog een misverstand: een FG wordt vaak verward met een privacy officer. Dit zijn echter twee verschillende functies. Een privacy officer is meestal een werknemer van de juridische- of compliance-afdeling die de taak heeft om projecten te leiden en er voor te zorgen dat ‘privacy goed geregeld wordt’. Wat deze functie exact inhoudt zal per organisatie verschillen. Maar de FG heeft (zoals hierboven beschreven) wettelijke taken en een bijzondere positie, met als hoofdtaak om toe te zien op de naleving van de AVG. De FG zal dus adviseren over en toezien op het werk dat de privacy officer levert. Het heeft zelfs de voorkeur dat er zowel een FG als en een privacy officer werken in een grote organisatie. Op deze manier voorkom je dat de FG zowel uitvoert als controleert, dus dat hij zijn eigen vlees keurt.
In welke gevallen is een FG verplicht?
Voor de volgende organisaties is de aanstelling van een FG verplicht:
- Voor een overheidsinstantie of overheidsorgaan;
- Voor organisaties die hoofdzakelijk verwerkingen doen met regelmatige en stelselmatige observatie op grote schaal van betrokkenen;
- Voor organisaties die hoofdzakelijk grootschalige verwerking van bijzondere categorieën persoonsgegevens of strafrechtelijke gegevens doen.
Hoofdactiviteiten
In het tweede en derde punt zien we ‘hoofdzakelijk’. Met ‘hoofdzakelijk’ worden alle verwerkingen bedoeld die betrekking hebben op de ‘hoofdactiviteiten’ van de organisatie. Wat zijn nu hoofdactiviteiten? Deze hoofdactiviteiten zijn de activiteiten die nodig zijn om het hoofddoel van de betreffende organisatie te bereiken. Bijvoorbeeld: het hoofddoel van een ziekenhuis is om gezondheidszorg te leveren, en niet om persoonsgegevens te verwerken. Echter, het verwerken van persoonsgegevens van de patiënten en informatie over hun gezondheid is onlosmakelijk verbonden met het leveren van gezondheidszorg; het is hoogst nodig om veilig en efficiënt zorg te leveren. Zulke nauw samenhangende activiteiten moeten worden onderscheiden van ondersteunende nevenactiviteiten. Bijvoorbeeld: de HR afdeling van het ziekenhuis zal ook wat bijzondere categorieën persoonsgegevens verwerken bij sollicitatieprocedures of wanneer werknemers zich ziek melden. Deze activiteiten zijn ondergeschikt aan de hoofdactiviteiten en zijn niet onlosmakelijk verbonden met het hoofddoel van het ziekenhuis.
Grote schaal
Bij de beoordeling of een verwerking wel of niet ‘op grote schaal’ gebeurt, moeten we kijken naar de hoeveelheid persoonsgegevens, op welk niveau zij worden verwerkt (regionaal, nationaal of supranationaal) en naar het aantal betrokkenen. Zoals al eerder aangegeven, valt het verwerken van bijzondere categorieën van persoonsgegevens (informatie over gezondheid van patiënten) onder de hoofdactiviteiten van een ziekenhuis. Ook kunnen we concluderen dat dit bij een ziekenhuis op grote schaal gebeurt. Voor een ziekenhuis is het daarom verplicht om een FG aan te stellen (vanwege punt 3).
FG worden? Of wil jij meer weten over de FG in de praktijk? Houd de blogpagina in de gaten. Binnenkort verschijnt een factsheet met do’s & dont’s en tips & tricks voor de samenwerking met FG’s!