Blog
HomePrivacyFunctionaris voor de Gegevensbescherming: wie en waarom? Kom erachter wat jouw verplichtingen zijn.

Functionaris voor de Gegevensbescherming: wie en waarom? Kom erachter wat jouw verplichtingen zijn.

Je bent de term wellicht al eens tegengekomen: Functionaris voor de Gegevensbescherming (FG). Heb jij enig idee wie dat is? Wat diens taken zijn? En of jouw onderneming verplicht is een FG aan te stellen? In dit blog geef ik uitleg en hopelijk ook antwoord op jouw vragen.

Nieuwe wetgeving

Het zal geen nieuws meer zijn dat er nieuwe Europese privacywetgeving aanstaande is. En als dit wel nieuws is – en dat is niet erg – lees dan ook dit artikel.  Met de komst van deze wetgeving in mei 2018 wordt het in een paar expliciete  gevallen verplicht een FG aan te stellen.

De FG

Maar eerst: wie of wat is een FG? Een FG houdt toezicht op de verwerking van persoonsgegevens, verzamelt en inventariseert gegevensverwerkingen, ontwikkelt interne regelingen, houdt meldingen van gegevensverwerkingen bij, behandelt klachten en vragen, geeft voorlichting en adviseert. Kortom, de FG zorgt dat de organisatie de wetgeving naleeft. Belangrijk daarbij is dat de FG goede kennis heeft van en ervaring heeft met de gegevensbeschermingswetgeving.

Als onderneming (verantwoordelijke) blijf jij wel verantwoordelijk voor het compliant zijn met de privacywetgeving. De FG is niet persoonlijk aansprakelijk.

Nu we dat helder hebben, gaan we over tot de orde van de dag. Wanneer is het aanstellen van een FG verplicht? Dat is indien:

  1. De verwerking geschiedt door overheidsinstanties of overheidsinstanties. Rechtbanken zijn van deze verplichting uitgezonderd.
  2. Een onderneming (of de verwerker) hoofdzakelijk belast is met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen. Belangrijk is dat de verwerking een van de kerntaken moet zijn en niet een nevenactiviteit.
  3. Een onderneming (of de verwerker) hoofdzakelijk belast is met grootschalige verwerking van bijzondere en strafrechtelijke persoonsgegevens. Denk hierbij aan persoonsgegevens over ras, medische of financiële gegevens, seksuele voorkeur of politieke gezindheid.

Grootschalige verwerking

Een interessante vraag is wat nu onder “grootschalig” valt. De nieuwe wetgeving noemt niet wanneer hiervan sprake is. Je kunt hierbij denken aan:

– ziekenhuizen die patiëntengegevens verwerken;
– banken die klantgegevens verwerken als onderdeel van de gebruikelijke werkzaamheden;
– recherchebureaus;
– exploitanten van bepaalde apps, bijvoorbeeld indien er gevoelige informatie wordt verwerkt; en,
– internetbedrijven die diensten aanbieden om websitebezoek zeer gedetailleerd te monitoren (analytics).

Er zullen ook ongetwijfeld situaties komen waarin het onduidelijk is of er een FG moet worden aangesteld. Het is dan aan de rechtspraak hier iets zinnigs over te zeggen. Wat in ieder geval nog speelt is dat het de EU-lidstaten vrij staat in meer gevallen een FG verplicht te stellen. Dit is in Nederland nog niet gebeurd.

Geen verplichting? Doe toch iets.

Tot slot nog goed om te noemen dat je ook een FG mag aanstellen als er geen wettelijke verplichting daartoe bestaat. Deze aanstelling mag zowel intern als extern zijn. In dat geval gelden voor zijn aanwijzing, positie en taken dezelfde voorwaarden als wanneer het aanstellen wel verplicht was.
Het is hoe dan ook verstandig een bepaald persoon binnen de organisatie verantwoordelijk te maken voor de privacy. En stel daarbij ook intern beleid op. Mochten er vragen komen van klanten of mocht er contact nodig zijn met de toezichthouder, dan hoef je niet eerst nog intern aan de slag. Dat scheelt weer. In sommige gevallen, bijvoorbeeld in geval van een datalek, sta je immers onder behoorlijke tijddruk.

Wil je meer weten over de FG of ben jij benieuwd of jij verplicht bent een FG aan te stellen? Neem dan contact op. Meer informatie over privacyrecht vind je onder “over privacywetgeving“.

Floor May
0653872244

 

 

 

Written by

The author didnt add any Information to his profile yet