Pragmatisch
Kwaliteit
Flexibel
Relevant

BLOG: Nadere kijk op de taken van een FG (Functionaris Gegevensbescherming)

woensdag 15 maart 2023

U heeft het vast al eens voorbij zien komen: “voor meer informatie kunt u contact opnemen met onze functionaris gegevensbescherming”. Maar wat doet een functionaris gegevensbescherming (FG) nou precies? In deze blog gaan wij in op de taken van de FG.
Op basis van de AVG en adviezen van diverse (inter)nationale toezichthouders zoals de Autoriteit Persoonsgegevens (AP)[1], het Europees Comité voor gegevensbescherming (European Data Protection Board: EDPB)[2] en de Franse toezichthouder Commission Nationale Informatique & Libertés (CNIL)[3], geven wij een overzicht van de taken van de FG.

In de AVG is opgenomen dat de FG de volgende taken heeft:

I. De FG informeert en adviseert de organisatie over verplichtingen op basis van de AVG;[4]

II. De FG ziet toe op de naleving van de AVG , andere privacy wet-en regelgeving en het beleid van de organisatie;[5] Dit toezicht ziet toe of er voldaan is aan de verplichtingen omtrent het toewijzen van verantwoordelijkheden, het bewustmaken en opleiden van het bij de verwerking betrokken personeel en het uitvoeren van audits;
III. Samenwerken met en optreden als contactpunt voor de AP; [6]
IV. Contactpunt voor betrokkenen.[7]

De FG heeft verschillende taken en hoe die invulling geeft aan deze taken is afhankelijk van de organisatie waar die FG van is. Bij de uitvoering van de taken dient de FG rekening te houden met het aan verwerkingen verbonden risico, en met de aard, de omvang, de context en de verwerkingsdoeleinden. Dit betekent dat de FG zich in de eerste plaats moet richten op verwerkingen die een hoog risico inhouden. Hieronder wordt op ieder van de genoemde taken nader ingegaan.

De FG informeert en adviseert de organisatie over verplichtingen op basis van de AVG.

De FG adviseert gevraagd en ongevraagd aan alle lagen binnen de organisatie en brengt verslag uit over de stand van zaken aan het hoogste leidinggevende niveau van de verwerkingsverantwoordelijke. De taak van de verwerkingsverantwoordelijke is om de FG tijdig te betrekken bij alle situaties welke verband houden met de bescherming van persoonsgegevens. Een belangrijk onderdeel waar de FG advies over geeft is de gegevensbeschermingseffectbeoordeling (DPIA’s).

Toezicht houden op de naleving van de AVG, andere privacy wet-en regelgeving en het beleid van de organisatie.

De FG is onafhankelijk en houdt intern toezicht op de naleving van de AVG en andere relevante privacy wet-en regelgeving. Dit vindt ad hoc plaats maar ook structureel. Ad hoc toezicht houdt in, toezicht naar aanleiding van bijvoorbeeld vragen of klachten van betrokkenen of nieuwe ontwikkelingen. Structureel houdt de FG toezicht door middel van bijvoorbeeld audits, jaarverslagen en onderzoek bij nieuwe verwerkingen. De FG moet binnen de organisatie worden voorzien van alle benodigde middelen om die taken uit te oefenen. Dit houdt in dat de FG toegang moet worden gegeven tot elke ruimte en elk systeem waarmee persoonsgegevens worden verwerkt indien noodzakelijk voor de het houden van toezicht. Deze taak is niet enkel beperkt tot de verwerkingsverantwoordelijke, de FG kan ook toezien op het beleid van de verwerker.[8]

Samenwerking met en optreden als contactpunt voor de AP.

De FG is het aanspreekpunt binnen de organisatie voor de AP. Om deze reden moeten de contactgegevens van de FG worden gedeeld met de AP. Het contact met de AP is niet eenzijdig, de FG kan zelf ook contact met de AP opnemen voor advies.

Contactpunt voor betrokkenen.

Iedere betrokkene moet eenvoudig contact op kunnen nemen met de FG met betrekking tot aangelegenheden die verband houden met de verwerking van hun gegevens en de uitoefening van hun AVG-rechten. De contactgegevens van de FG dienen beschikbaar te worden gemaakt zodat men de FG rechtstreeks kan bereiken. Tot slot is de FG gehouden tot geheimhouding voor wat betreft de uitvoering van zijn taken.

Extra taken FG.

Een FG kan binnen de organisatie extra taken toebedeeld krijgen. Er kan bijvoorbeeld gevraagd worden aan de FG om taken uit te voeren welke niet primair tot zijn/haar bevoegdheid behoren. Denk hierbij aan het beheren van het verwerkingsregister. De FG mag daarnaast extra taken vervullen welke los staan van zijn/haar positie als FG, echter moet er wel een duidelijke functiescheiding zijn en mogen de andere taken en plichten niet in conflict zijn met de taken als FG. Nog een bijzonderheid aan het FG-schap is dat de FG niet ontslagen mag worden als gevolg van het uitoefenen van zijn/haar taken.[9]

Conclusie

De FG vervult een breed scala aan taken zoals het adviseren van de organisatie en toezien op de naleving van de wet. Daarnaast is de FG het contactpunt voor de AP en betrokkenen. Het is dus niet de taak van de FG om ervoor te zorgen dat de organisatie de wet naleeft, enkel om de organisatie te begeleiden bij het naleven van de wet.

[1] Autoriteit Persoonsgegevens, Positionering van de FG. Uitgangspunten: rollen, processen en verantwoordelijkheden, juni 2021 (https://autoriteitpersoonsgege...).

[2] Groep Gegevensbescherming Artikel 29, Richtlijnen voor functionarissen voor gegevensbescherming (Data Protection Officer, DPO), WP 243 rev.01, 5 april 2017 (https://edpb.europa.eu/our-wor...).

[3] CNIL, Practical Guide GDPR. Data Protection Officers, 15 maart 2022 (https://www.cnil.fr/sites/defa...).

[4] Art. 39, eerste lid, onder a en c AVG.

[5] Art. 39, eerste lid, onder b AVG.

[6] Art. 39, eerste lid, onder d en e AVG.

Heeft u vragen over deze blog?
of wenst u meer informatie om een FG aan te stellen, neem contact op met ons