De Functionaris Gegevensbescherming

Het nieuwe jaar is gestart, nog even en het is 25 mei 2018…..

Heeft u al een Functionaris Gegevensbescherming (FG)/Data Protection Officer (DPO) aangesteld?

De Algemene Verordening Gegevensbescherming (AVG), legt de verantwoordelijkheid voor een veilige (zorg)organisatie t.a.v. de veilige verwerking van persoonsgegevens waar zij hoort: bij het hoogste managementniveau. Dat betekent niet dat directieleden opeens diepgaande kennis van ICT, informatieveiligheid en privacy moeten hebben, wél dat er zo snel mogelijk een Functionaris Gegevensbescherming (FG) moet worden aangesteld. In dit artikel beantwoorden we een aantal vragen rondom de FG, zoals bijvoorbeeld: moeten we een FG aanstellen? Wat doet een FG? Hebben we een eigen FG nodig? En nog veel meer.

Wanneer moet een FG worden aangesteld?

Voor overheidsinstanties (AVG, artikel 37, lid 9a) is het aanstellen van een FG verplicht. Verder moeten alle organisaties een FG aanstellen, als zij hoofdzakelijk zijn belast met persoonlijke gegevensverwerkingen, die betrekking hebben op:

  • Het op grote schaal regelmatig en stelselmatig observeren (monitoren) van personen (AVG, artikel 37, lid 1b); of
  • Het grootschalig verwerken van bijzondere categorieën van persoonsgegevens (AVG, artikel 37 lid 1c) en gegevens over strafrechtelijke veroordelingen en strafbare feiten.

Voor zorgorganisaties is er sprake van het op grote schaal verwerken van bijzondere persoonsgegevens (denk aan medische gegevens), waarmee duidelijk mag zijn dat alle zorgorganisaties een FG moeten aanstellen.

Wat zijn de taken van een FG?

De taken van uw FG (AVG, artikel 39, lid 1) bestaan uit:

  • Het informeren en adviseren van uw organisatie en het personeel dat persoonsgegevens verwerkt van de verplichtingen die de AVG oplegt;
  • Het toezicht houden op de naleving van de verordening, met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van de medewerkers die betrokken zijn bij de verwerkingsoperaties en de bijbehorende audits;
  • Het gevraagd en ongevraagd advies geven over gegevensbeschermingseffectbeoordelingen (beter bekend onder de naam data protection impact assessment, DPIA) en het controleren van de uitkomsten daarvan;
  • Samenwerken met de Autoriteit Personeelsgegevens (AP) en fungeren als aanspreekpunt voor uw organisatie in zaken die verband houden met de verwerking van persoonsgegevens;

Verder reageert de FG op vragen van personen, waarvan gegevens worden verwerkt (medewerkers, cliënten en dergelijke) en die een beroep doen op de uitoefening van hun rechten volgens de AVG.

 Kan een eigen medewerker als neventaak worden aangewezen als FG?

Een eigen medewerker kan worden aangewezen als FG (AVG, artikel 37, lid 6). De FG moet wel beschikken over professionele kwaliteiten en, in het bijzonder, beschikken over deskundige kennis van relevante wetgeving. De FG moet het vermogen hebben de veeleisende taken te vervullen. De overige professionele taken van de medewerker moeten verenigbaar zijn met de nieuwe taken als FG en mogen niet leiden tot een belangenconflict.

U kunt echter ook een externe FG aanstellen op basis van een dienstverleningsovereenkomst. In beide situaties is het belangrijk dat de FG zijn taak in alle onafhankelijkheid (zonder aanwijzing van een manager) kan uitoefenen (AVG, artikel 38, lid 3). De ondernemingsraad (OR) heeft instemmingsrecht bij het benoemen van een FG (WOR, artikel 27).

Aan wie rapporteert de FG?

De FG rapporteert direct aan het hoogste managementniveau van uw organisatie (AVG, artikel 38, lid 3). Zoals al aangegeven moet  de FG zijn taken op een onafhankelijke manier kunnen verrichten, geen instructies over de uitoefening van zijn taken ontvangen en kan hij niet ontslagen of bestraft worden voor het uitvoeren van deze  taken. Het hoogste managementniveau is eindverantwoordelijk voor de veilige verwerking van persoonsgegevens.

Welke andere taken heb ik nog als werkgever?

Als (zorg)organisatie moet U de FG:

  • De nodige middelen verstrekken om enerzijds de taken te vervullen en anderzijds de deskundige kennis op peil te houden (AVG, artikel 38, lid 2);
  • Toegang te geven tot persoonsgegevens en verwerkingsactiviteiten (AVG, artikel 38, lid 2);
  • De FG tijdig bij alle problemen, die betrekking hebben op de bescherming van persoonsgegevens, wordt betrokken (AVG, artikel 38, lid 1).

Verder moet u de contactgegevens van de FG ter beschikking te stellen aan zowel de AP als aan uw cliënten (AVG, artikel 37, lid 7).

Wat moet ik nog meer weten?

Bij het uitoefenen van zijn/haar taken moet de FG risico’s in verband met de verwerkingsactiviteiten afwegen, rekening houdend met de aard, de reikwijdte, de context en de doeleinden van de verwerking. Verder is de FG gebonden aan geheimhouding en vertrouwelijkheid met betrekking tot de uitvoering van zijn of haar taken (AVG, artikel 38, lid 5).