Privacy

Het nut van de functionaris gegevensbescherming

Welke persoonsgegevens verwerkt u?
“Laat ik vandaag eens zoveel mogelijk persoonsgegevens verzamelen.” Vast niet de eerste gedachte van de gemiddelde persoon die ’s ochtends opstaat. Sterker nog, ik verwacht dat er niemand met een dergelijk idee opstaat. Toch verzamelt een bedrijf, bewust en mogelijk vooral onbewust, dagelijks veel gegevens. Meestal worden deze gegevens onder de Wet Bescherming Persoonsgegevens (WBP) al gekenmerkt als persoonsgegevens (telefoonnummer, e-mailadres, etc.), Met de komst van de nieuwe Algemene Verordening Gegevensbescherming (AVG) worden bijvoorbeeld ook locatiegegevens zoals IP-adressen als persoonsgegeven gekenmerkt.

Sneller en meer
Je verzamelt straks dus sneller en meer persoonsgegevens. Dat vraagt om een nieuwe inventarisatie van de persoonsgegevens die door het bedrijf vloeien. Waarschijnlijk kom je er hierdoor achter dat het om meer persoonsgegevens gaat dan je vooraf had verwacht. En trek je de conclusie dat het belangrijk is om een maatregel in te stellen om de persoonsgegevens goed te beschermen. Eén organisatorische maatregel voortkomend uit de AVG is het aanstellen van een functionaris gegevensbescherming.

Functionaris gegevensbescherming
De functionaris gegevensbescherming (FG) is een natuurlijk persoon binnen de organisatie die toezicht houdt op de toepassing en naleving van de AVG. Zo zal de FG onder andere meldingen van gegevensverwerkingen bijhouden. Input leveren bij het opstellen of aanpassen van de gedragscode maar ook advies geven over technologie en beveiliging bij het ontwikkelen van een nieuw product/dienst (lees ook eens de blog ‘privacy by design‘). Een functionaris gegevensbescherming​ aanstellen is dus niet alleen nuttig om te voldoen aan de wet, maar heeft ook daadwerkelijk voordelen voor de bedrijfsvoering.

Positie van FG in de organisatie
Aangezien de FG als deskundige betrokken is bij alle kwesties omtrent het beschermen van persoonsgegevens, is het belangrijk dat de FG op een juiste en tijdige manier inspraak heeft bij elke verwerking van persoonsgegevens. Daarnaast is het belangrijk dat de FG actieve steun krijgt vanuit het management, voldoende tijd heeft om de taken uit te voeren en er geen belangenverstrengeling is met eventuele andere taken. Kortom, de FG dient een belangrijke positie in te nemen in de organisatie. De FG op regelmatige basis laten deelnemen aan overleggen op verschillend niveau is daarom wenselijk.

Kennis, ervaring, competenties
Uiteraard is het belangrijk dat de FG op de hoogte is van de laatste ontwikkelingen omtrent gegevensbescherming en de AVG. Het kan dus de voorkeur hebben om iemand aan te stellen die reeds ervaring heeft opgedaan in deze tak van sport. Dit varieert van het verwerken van persoonsgegevens, het opstellen van een verwerkingsregister, tot het uitvoeren van een data protection impact assessment (DPIA). Een arbeidsverleden met daarin een rol als security officer of privacy officer geldt natuurlijk ook als een pré. Wie er ook wordt aangesteld, het is belangrijk om de functionaris altijd bijscholing aan te bieden om ervoor te zorgen dat de kennis up-to-date blijft.

Aanstelling: verplicht of niet?
Een FG kan een behoorlijke impact hebben op de bedrijfsvoering. Zo kan er minder tijd zijn om een takenpakket uit te voeren indien de FG wordt belegd bij een huidig personeelslid, of heeft het een financiële impact als er een nieuw personeelslid voor wordt aangenomen. Daarom is het goed om te weten dat de aanstelling van een FG niet altijd verplicht is. In onderstaande gevallen is het dat echter wél:

• Overheden en publieke organisaties (gemeenten, provincies maar ook zorg- en onderwijsinstellingen) zijn verplicht een FG aan te stellen. Ongeacht het type persoonsgegevens dat zij verwerken.
• Wanneer op grote schaal het volgen van individuen een kernactiviteit is, bijvoorbeeld voor het maken van profielen middels big data-analyses.
• Als het op grote schaal verwerken van bijzondere persoonsgegevens (bijv. gezondheid, ras, politieke opvattingen) een kernactiviteit is.

Voldoet de organisatie aan één van bovenstaande punten dan is het verplicht een FG aan te stellen. Voldoe je niet aan één van bovenstaande punten ben je dit dus niet verplicht, maar is het dan ook een slimme keuze om geen FG aan te stellen? In het kader van verdere professionalisering van de organisatie, het centraliseren van alle vraagstukken omtrent persoonsgegevensbescherming en het makkelijker aantoonbaar maken van voldoen aan de AVG is het raadzaam om het aanstellen van een FG goed te overwegen.

Blog geschreven door Sjoerd van de Meerendonk, Directeur consultancy