Functionaris Gegevensbescherming is duizendpoot

Functionaris Gegevensbescherming is duizendpoot

Vanaf 25 mei 2018 is een aantal organisaties verplicht een Functionaris Gegevensbescherming (FG) aan te stellen. Dit geldt voor overheidsinstanties en publieke organisaties en organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen en/of bijzondere persoonsgegevens verwerken. Overheidsinstellingen werken al jaren vanuit deze verplichting. Ook hebben grote banken en verzekeraars wel al mensen aangesteld in de functie van Functionaris Gegevensbescherming.

Alle verplichte organisaties moeten dus over een klein jaar invulling hebben gegeven aan de verplichtingen van de Algemene Verordening Gegevensbescherming (AVG). Binnen de organisatie zal een Functionaris Gegevensbescherming moeten worden aangewezen voor het monitoren of aan de wetgeving voldaan wordt.

Maar wat houdt dit nu precies in, wat wordt er verwacht, wat zijn de taken en bevoegdheden van een Functionaris Gegevensbescherming. En welke competenties moet deze persoon hebben? In de praktijk worden mij geregeld dit soort vragen gesteld. Hieronder een uiteenzetting.

Functionaris gegevensbescherming is toezichthouder en aanspreekpunt

Een Functionaris Gegevensbescherming houdt toezicht op de toepassing en naleving van de Wet bescherming persoonsgegevens (Wbp) en per 28 mei 2018 de Algemene Verordening Gegevensbescherming. Hij of zij houdt in de gaten welke persoonsgegevens er gebruikt worden, of het wettelijk is toegestaan deze persoonsgegevens te gebruiken en of aan de voorwaarden van het gebruik voldaan wordt. Daarnaast is de Functionaris Gegevensbescherming aanspreekpunt voor vragen over de wijze waarop persoonsgegevens verwerkt zijn en adviseert hij/zij de organisatie over de techniek om veilig om te gaan met persoonsgegevens. De Functionaris Gegevensbescherming kan dus aangesproken worden door de toezichthouder, maar ook door klanten en betrokkenen (degene waarover de persoonsgegevens gaan).

Uiteenlopende taken

Om dit allemaal waar te maken liggen er nogal wat taken op de Functionaris Gegevensbescherming te wachten. Zo wordt een inventarisatie van alle gegevensverwerkingen binnen de organisatie bijgehouden en worden Privacy Impact Assessments (PIA) gemaakt bij nieuwe of aangepaste gegevensverwerkingen. Interne reglementen over het gebruik van persoonsgegevens worden ontwikkeld, vragen en klachten van betrokkenen over de verwerking van persoonsgegevens worden behandeld en er wordt geadviseerd over technologie en beveiliging (privacy by design) en meldingen van datalekken. Tenslotte zal toezicht moeten worden gehouden op de eigen organisatie over het werken conform de reglementen en zal terugkoppeling worden gegeven aan de directie.

Autonomie is van groot belang

Het is van groot belang dat bij de uitvoering van al deze taken de onafhankelijkheid en deskundigheid van de Functionaris Gegevensbescherming gewaarborgd wordt. Zorg voor voldoende autonomie. Een functionaris Gegevensbescherming is bevoegd om ongevraagd audits uit te voeren binnen de eigen organisatie als overtredingen van interne reglementen worden vermoed. Alleen dan kan een spiegel worden voorgehouden en kan door bijsturing een sanctie vanuit overheidswege worden voorkomen. Het is zeker niet de bedoeling dat een Functionaris Gegevensbescherming instructies ontvangt met betrekking tot de uitvoering van zijn taken. Geef een Functionaris Gegevensbescherming vooral alle ruimte om zelfstandig de organisatie van advies te voorzien en voer hier geen druk op uit.

Duizendpoot

Er ligt dus nogal een uitdaging te wachten bij het invullen van de verplichting van een Functionaris Gegevensbescherming. Wil je als organisatie hier mee aan de slag dan zal je op zoek moeten gaan naar een duizendpoot die voldoende verstand heeft van IT, wet- en regelgeving en bedrijfs- en organisatiekunde. Heb je deze duizendpoot gevonden? Dan heb je een goede Functionaris Gegevensbescherming gevonden die kan bepalen of gegevensverwerking veilig en gerechtvaardigd is, op de juiste wijze gaat en of interne regels realistisch en bruikbaar zijn. Hiermee kun je als organisatie de invoering van de AVG zorgeloos tegemoet zien!

Meer weten? Neem contact met ons op!
Contact
Bel mij
Vul hier uw gegevens in en wij nemen telefonisch contact met u op.