ORnet

Platform voor medezeggenschap

Je bent hier: Home » Artikel » Privacywet: een functionaris gegevensbescherming aanstellen

Privacywet: een functionaris gegevensbescherming aanstellen

Privacywet: een functionaris gegevensbescherming aanstellen

Reageer

Volgens de aanstaande Europese privacywet (AVG) zijn bepaalde organisaties verplicht een functionaris voor gegevensbescherming (FG) aan te stellen. Deze persoon houdt toezicht op de toepassing en naleving van de privacywet. Voor organisaties die niet onder de plicht vallen, kan het ook raadzaam zijn een FG aan het werk te zetten.

Ook onder de nu nog geldende Wet bescherming persoonsgegevens (Wbp) zijn in organisaties functionarissen voor gegevensbescherming werkzaam. De nieuwe Algemene verordening gegevensbescherming (AVG) brengt meer verplichtingen met zich mee.

De verplichting om een FG (ook wel: Data Protection Officer) aan te stellen geldt voor:

  • overheidsinstanties en publieke organisaties, zorg- en onderwijsinstellingen, ongeacht het type gegevens dat ze verwerken;
  • organisaties die als kernactiviteit op grote schaal mensen volgen en hun persoonsgegevens verwerken, zoals ziekenhuizen, of een bedrijf dat zich bijvoorbeeld toelegt op cameratoezicht, of gegevens over fitheid verwerkt;
  • organisaties die als kernactiviteit op grote schaal bijzondere persoonsgegevens verwerken, zoals gegevens over ras, politieke opvatting, gezondheid, geloofsovertuiging of strafrechtelijke zaken.

De verplichting voor de FG gaat in op 25 mei 2018, de dag dat de privacywetgeving in de hele EU van kracht wordt. De AVG is in het Engels bekend als General Data Protection Regulation (GDPR).

Als organisaties twijfelen of ze onder de aanstellingsplicht van een FG vallen, moeten ze goed kunnen beargumenteren waarom ze afzien van de aanstelling.

Instemmingsrecht ondernemingsraad

De or heeft instemmingsrecht (artikel 27 WOR) bij regelingen voor het verwerken van persoonsgegevens van werknemers en voor personeelvolgsystemen.

Ook voor de persoon en de taken van een functionaris voor de gegevensbescherming kan het instemmingsrecht van toepassing zijn. Zeker daar waar de werkzaamheden van de FG betrekking hebben op het interne toezicht.

Verantwoordelijkheden van de FG

De FG moet intern toezicht houden op het naleven van de privacywet. Hij of zij moet informatie verzamelen over gegevensverwerkingen binnen de organisatie, de verwerkingen analyseren en beoordelen of ze aan de wet voldoen. Van belang is ook dat de FG informatie, adviezen en aanbevelingen geeft aan de organisatie.

De naleving van de privacywet is volgens de verordening de verantwoordelijkheid van de ‘verwerker’; dat is de persoon of de organisatie die het doel van en de middelen voor het gebruik van persoonsgegevens bepaalt.

Het is de organisatie die verantwoordelijk is voor het houden van overzicht over de gegevensverwerkingen. De FG heeft die verantwoordelijkheid niet, en de FG kan ook niet persoonlijk aansprakelijk worden gesteld voor een overtreding van de privacywet.

Tijd, budget, faciliteiten

De FG moet door de organisatie in staat gesteld worden de taken goed te verrichten. De FG moet  toegang hebben tot de persoonsgegevens en de verwerkingen ervan. De FG moet voldoende tijd krijgen, voldoende budget, faciliteiten en personeel en moet ook zijn kennisniveau op peil kunnen houden.

Ook benodigd is actieve ondersteuning van het management. Verder behoort in de organisatie helder gecommuniceerd te worden over de benoeming van de FG.

Een functionaris voor de gegevensbescherming kan voor meerdere onderdelen van een bedrijf worden ingezet. Volgens de Autoriteit Persoonsgegevens kan ook een groep organisaties gezamenlijk één FG inzetten. Die persoon moet dan wel voor elk bedrijfsonderdeel bekend en goed bereikbaar zijn.

Een FG moet een natuurlijk persoon zijn. Een ondernemingsraad of een speciale commissie mag de functie niet vervullen.

Data protection impact assessment

Als de organisatie een Data protection impact assessment (DPIA) moet uitvoeren, dan is de organisatie verplicht om de FG hierbij om advies te vragen.

De FG kan in het geval van een DPIA advies worden gevraagd over:

  • de afweging om wel of niet een DPIA uit te voeren;
  • de te gebruiken onderzoeksmethode voor de DPIA;
  • de inzet van een gespecialiseerd bureau;
  • benodigde waarborgen om risico’s voor betrokkenen te beperken;
  • de vraag of de uitkomsten van de DPIA in overeenstemming zijn met de wet.

De organisatie moet in het DPIA-rapport het gegeven advies van de FG vermelden en aangeven wat daarmee is gedaan.

De FG moet onafhankelijk zijn

De AVG voorziet in waarborgen voor de FG om het werk in onafhankelijkheid te kunnen verrichten. De FG heeft feitelijk dezelfde ontslagbescherming als de leden van een ondernemingsraad.

  • de werkgever mag de FG geen instructies geven over zijn taken als FG;
  • de werkgever mag de FG niet ontslaan of sanctioneren als gevolg van de uitoefening van FG-taken;
  • er mag geen belangenverstrengeling zijn tussen de FG-taken en de eventuele andere taken of functies van de FG;

De FG mag binnen de organisatie niet ook een functie hebben waarin hij of zij, bijvoorbeeld als manager, het doel en de middelen van een gegevensverwerking bepaalt.

FG’s moeten worden aangemeld bij de Autoriteit Persoonsgegevens. De Autoriteit Persoonsgegevens publiceert aanmeldingen van FG’s in een register.

Benodigde expertise en vaardigheden van de FG

Een FG dient ‘bovengemiddelde vakkennis’ te hebben van privacywetgeving en van de praktijk van gegevensbescherming. Dat betekent:

  • kennis van de Europese privacywet- en regelgeving over gegevensbescherming;
  • kennis van de geldende Nederlandse privacywetgeving;
  • begrip van de gegevensverwerkingen in de betrokken organisatie;
  • kennis van de organisatie en de betrokken sector;
  • begrip van IT en informatiebeveiliging;
  • vaardigheden om binnen de organisatie een cultuur van gegevensbescherming te ontwikkelen;
  • meer expertise en ondersteuning is nodig als de betrokken organisatie grote hoeveelheden gevoelige gegevens verwerkt.

Vrijwillig een FG aanstellen

Voor organisaties die overheidstaken uitvoeren kan het zinvol zijn een FG aan te stellen, als er al niet een verplichting is. Bij overheidstaken kan het bijvoorbeeld gaan om een energiebedrijf, een openbaarvervoerbedrijf of een woningcorporatie.

Wie vrijwillig een FG aanstelt krijgt te maken met dezelfde regels die gelden voor een verplichte FG. Organisaties die dat een stap te ver vinden kunnen ook een werknemer inzetten of een adviseur inhuren die zich met de bescherming van persoonsgegevens bezighoudt.

De wettelijke regels van de AVG gelden niet voor deze persoon, zolang deze duidelijk niet als FG optreedt in de zin van de wet.

Zie ook: Autoriteit Persoonsgegevens: Richtlijnen voor functionarissen voor gegevensbescherming

Lees ook:

Tip! download de gratis whitepaper: De Europese privacywet (AVG)

Opleiding De nieuwe Privacywetgeving voor de or

Voor de or is het van groot belang om de ins en outs van de nieuwe privacywetgeving te kennen. Tijdens de 1-daagse opleiding De nieuwe Privacywetgeving voor de or wordt de privacywet uitgebreid behandeld en komen alle specifieke punten voor de or aan de orde.

Gerelateerde berichten

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

CAPTCHA

*

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

Categorieën

Deze website is ontwikkeld voor Internet Explorer 9 of hoger, werk uw browser a.u.b. bij naar een recentere versie.