Zelf doen of FG?
Functionaris voor de gegevensbescherming
(Branche)organisaties hebben de mogelijkheid zelf een interne toezichthouder op de verwerking van persoonsgegevens aan te stellen. Zo iemand wordt een functionaris voor de gegevensbescherming (FG) genoemd. De FG houdt binnen de organisatie toezicht op de toepassing en naleving van de Wet bescherming persoonsgegevens (Wbp).
Straks: verplichte FG
Let op: vanaf 25 mei 2018 geldt er nieuwe Europese privacywetgeving, de Algemene verordening gegevensbescherming (AVG). Organisaties kunnen dan verplicht zijn om een FG aan te stellen. Natuurlijk mogen organisaties dan ook nog steeds vrijwillig een FG aanstellen.
Voor meer informatie, zie het AVG-dossier Functionaris voor de gegevensbescherming (FG).
Taken
De werkzaamheden van een FG kunnen onder meer zijn:
- toezicht houden;
- inventarisaties van gegevensverwerkingen maken;
- meldingen van gegevensverwerkingen bijhouden;
- vragen en klachten van mensen binnen en buiten de organisatie afhandelen;
- interne regelingen ontwikkelen;
- adviseren over technologie en beveiliging (privacy by design);
- input leveren bij het opstellen of aanpassen van een gedragscode.
Melden gegevensverwerking
Moet u een risicovolle verwerking melden bij de Autoriteit Persoonsgegevens? Als u een FG heeft, kunt u deze melding bij de FG doen.
Eisen aan FG
De wet stelt een aantal eisen aan FG’s:
- Een FG moet een natuurlijk persoon zijn. Een ondernemingsraad of commissie komt dus niet in aanmerking.
- Een FG moet voldoende kennis hebben van de organisatie en de privacywetgeving.
- Een FG moet betrouwbaar zijn. Dit uit zich onder meer in een geheimhoudingsplicht.
Bevoegdheden FG
Een FG heeft geen formele sanctiebevoegdheden. Maar de organisatie is wel wettelijk verplicht om de FG controlebevoegdheden te geven. Zo moet een FG bevoegd zijn om ruimtes te betreden, zaken te onderzoeken en inlichtingen en inzage te vragen.
De FG moet in onafhankelijkheid zijn werkzaamheden kunnen verrichten binnen een organisatie.
Een FG heeft dezelfde ontslagbescherming als leden van een ondernemingsraad. Dit betekent dat hij pas ontslagen kan worden na toestemming van de kantonrechter.
Toezicht door Autoriteit Persoonsgegevens
Heeft een organisatie een FG, dan behoudt de Autoriteit Persoonsgegevens als nationale toezichthouder alle bevoegdheden. Maar de Autoriteit Persoonsgegevens stelt zich terughoudend op bij organisaties met een FG.
Beroepsvereniging FG’s
FG’s kunnen lid worden van het Nederlands Genootschap van Functionarissen voor de Gegevensbescherming (NGFG).
FG aanstellen
Een (branche)organisatie kan een of meerdere FG’s aanstellen. De organisatie moet elke FG vervolgens aanmelden bij de Autoriteit Persoonsgegevens. Pas dan kan de FG als zodanig aan de slag.
Let op: een verantwoordelijke (degene die het doel van en de middelen voor de gegevensverwerking vaststelt) kan niet tevens FG zijn in zijn eigen organisatie.
FG aanmelden bij Autoriteit Persoonsgegevens
U kunt een FG aanmelden bij de Autoriteit Persoonsgegevens via het aanmeldingsformulier. Stuur dit vervolgens naar:
Autoriteit Persoonsgegevens
t.a.v. Afdeling Bestandsbeheer
Postbus 93374
2509 AJ Den Haag.
Openbaar register FG’s
De Autoriteit Persoonsgegevens publiceert aanmeldingen van FG’s in een register.
- Is iemand geen FG meer? Dan moet de organisatie dit doorgeven aan de Autoriteit Persoonsgegevens.
- Komt er geen nieuwe FG? Dan moet de organisatie alle gegevensverwerkingen melden bij de Autoriteit Persoonsgegevens.