Stappenplan AVG. Stap 1: wel of geen functionaris gegevensbescherming aanstellen?
De nieuwe privacywet, de Algemene Verordening Gegevensbescherming (AVG), is vanaf 25 mei 2018 van toepassing in de hele Europese Unie. Dit betekent dat u vanaf die datum aan de bepalingen in de AVG dient te voldoen. Gelet op de verplichtingen in de AVG en de stevige boetes die de Autoriteit Persoonsgegevens kan opleggen, is het voor u van groot belang acties en maatregelen te treffen zodat uw organisatie eind mei voldoet aan de AVG.
Download stappenplan AVG
Ter voorbereiding op de nieuwe privacywet, hebben wij voor u een stappenplan opgesteld. Als u dit stappenplan doorloopt, dan is uw organisatie straks klaar voor de AVG. Het stappenplan bestaat in totaal uit 10 stappen. In dit artikel stap 1: wel of geen functionaris gegevensbescherming aanstellen?
Verplichte of vrijwillige functionaris gegevensbescherming
Onder de AVG kan het zijn dat u verplicht bent om een functionaris voor de gegevensbescherming (FG) aan te stellen. De FG wordt ook wel data protection officer genoemd. De FG wordt gezien als een functionaris die binnen de onderneming toezicht houdt op de toepassing en naleving van de AVG.
Het aanstellen van een FG is verplicht als u:
- een overheidsinstantie of publieke organisatie bent. Denk hierbij aan de rijksoverheid en zorg- en onderwijsinstellingen;
- vanuit uw kerntaak op grote schaal individuen regelmatig en stelselmatig observeert;
- zich vanuit uw kerntaak bezig houdt met het op grote schaal verwerken van bijzondere persoonsgegevens.
Valt u niet onder de verplichtstelling, dan kunt u vrijwillig een FG aanstellen. Dit kan interessant zijn voor uw organisatie, omdat een FG uw organisatie ondersteuning biedt bij bijvoorbeeld het in kaart brengen van de risico’s bij het verwerken van persoonsgegevens.
Een vrijwillig aangestelde FG dient zich aan dezelfde regels en kaders te houden als een verplichte FG. Dit betekent onder andere dat de vrijwillig ingestelde FG hetzelfde takenpakket heeft als de verplichte FG.
Als alternatief voor het instellen van een vrijwillige FG is het ook mogelijk:
- een werknemer in dienst te nemen of
- een adviseur in te huren die zich met de bescherming van persoonsgegevens bezighoudt.
Heeft deze persoon een andere functienaam, positie en takenpakket dan de FG, dan gelden de wettelijke regels voor de FG niet.
Taken van de functionaris gegevensbescherming
De FG heeft een aantal taken die hij verplicht dient uit te voeren. Allereerst informeert en adviseert de FG uw onderneming over uw verplichtingen uit de AVG en andere privacy wetgeving en houdt de FG toezicht op de naleving en toepassing van die verplichtingen. Daarnaast adviseert de FG u over het uitvoeren van een data protection impact assessment (DPIA). Meer informatie over het DPIA komt aan bod in stap 3. Ook is de FG de contactpersoon voor uw organisatie bij de Autoriteit Persoonsgegevens en werkt de FG samen met de Autoriteit Persoonsgegevens.
U kunt met de FG afspreken dat hij ook andere werkzaamheden verricht zoals het:
- maken van inventarisaties van gegevensverwerkingen;
- bijhouden van meldingen betreffende datalekken;
- afhandelen van vragen en klachten van mensen binnen en buiten de organisatie; en
- ontwikkelen van intern beleid.
Bevoegdheden van de functionaris gegevensbescherming
Een FG kan geen sancties opleggen. De FG heeft echter wel bepaalde bevoegdheden. Zo dient u de FG tijdig te betrekken bij alle aangelegenheden die te maken hebben met de bescherming van persoonsgegevens. Dit betekent bijvoorbeeld dat u de FG onmiddellijk dient te raadplegen op het moment dat zich een datalek heeft voorgedaan.
Daarnaast dient u de FG toegang te geven tot persoonsgegevens en verwerkingsactiviteiten. Het is dus belangrijk dat de FG ruimtes mag betreden, zaken mag onderzoeken en informatie en inzage verkrijgt. Tot slot is het van belang dat u de FG de benodigde middelen ter beschikking stelt voor het vervullen van zijn taken. Denk hierbij aan het verschaffen van voldoende financiële middelen en tijd, zodat hij zijn taken naar behoren kan uitvoeren.
Waarborgen: geen instructies en geen ontslag voor een FG
Allereerst mag u de FG bij de uitvoering van de taken geen instructies geven over hoe hij bepaalde aangelegenheden moet behandelen. Bijvoorbeeld hoe de FG een klacht dient te onderzoeken en wanneer de FG de Autoriteit Persoonsgegevens moet raadplegen.
Voorts beschikt de FG over een zekere ontslag- en benadelingsbescherming. Dit betekent dat de FG niet kan worden ontslagen of gestraft voor de uitvoering van zijn taken.
Hoe stelt u een functionaris gegevensbescherming aan?
De AVG stelt verschillende eisen aan de FG. Het is belangrijk dat u bij het aanstellen van de FG controleert of aan de volgende eisen wordt voldaan:
- de FG dient voldoende deskundig te zijn en over voldoende professionele kwaliteiten te beschikken om zijn taken uit te kunnen voeren. Dit betekent dat de FG onder andere:
• ervaring en kennis heeft van de AVG en andere privacywetgeving;
• verstand heeft van IT en beveiliging van gegevens; en ook
• kennis heeft van de organisatie en de sector waarin hij actief is. - Het is van belang dat de FG geen conflicterend belang heeft. Een conflicterend belang doet zich bijvoorbeeld voor als de FG binnen de organisatie een functie in het hogere management uitvoert (bijvoorbeeld: hoofd van Human Resources, hoofd van de IT-afdeling en Chief Executive).
In principe mag u ieder personeelslid dat voldoet aan de eisen van de AVG tot FG benoemen. Laat diegene dan wel een opleiding tot FG volgen om zo de juiste kennis op te doen.
U kunt echter ook een externe FG inhuren en met diegene een dienstverleningsovereenkomst overeenkomen.
Heeft u een FG aangesteld, neem de contactgegevens van de FG dan op in een privacyverklaring. Meer informatie over de privacyverklaring volgt in stap 8. Maak daarnaast de contactgegevens van de FG bekend bij de Autoriteit Persoonsgegevens.
Download het complete stappenplan AVG
Na deze stap volgen nog negen stappen die in de volgende artikelen worden behandeld. Kunt en wilt u niet wachten tot de volgende stap online komt? Download dan alvast ons complete stappenplan.
Heeft u vragen over de AVG of wilt u graag dat wij u helpen bij de voorbereidingen op de AVG? Neem gerust contact met ons op.
________________________________
Begrippenlijst
In de tekst staan enkele begrippen cursief. Dit zijn begrippen die u wellicht nog niet kent. U vindt een toelichting van deze begrippen in het stappenplan AVG.