Functionaris Gegevensbescherming.

Eén van de belangrijke wijzigingen in de nieuwe privacywet, de AVG (Algemene Verordening Gegevensbescherming) is de verplichting voor een groot aantal organisaties om een Functionaris Gegevensbescherming aan te stellen. Hulp nodig? Neem contact met ons op!

FUNCTIONARIS GEGEVENSBESCHERMING

Een Functionaris (voor de) Gegevensbescherming is een persoon, die deskundig en onafhankelijk een organisatie adviseert en ondersteunt op het gebied van privacy. Ook houdt de Functionaris Gegevensbescherming toezicht op de toepassing en de uitvoering van de AVG, de Algemene Verordening Gegevensbescherming, en alle andere toepasselijke privacyregelingen.

COMMERCIELE VOORDELEN

Het hebben van een ervaren Functionaris Gegevensbescherming zou deel moeten uitmaken van het visitekaartje van jouw bedrijf, zeker wanneer je deze vrijwillig aanstelt. Het hebben van een Functionaris Gegevensbescherming geeft aan, dat jouw organisatie onder onafhankelijk en deskundig toezicht staat bij de verwerking van persoonsgegevens en informatiebeveiliging.

HET TOEZICHT DOOR EEN FUNCTIONARIS GEGEVENSBESCHERMER

Een Functionaris Gegevensbescherming houdt onafhankelijk en deskundig toezicht op de toepassing en naleving van de privacyregels in bijvoorbeeld de AVG en de ePrivacy richtlijnen. De Functionaris Gegevensgebescherming onderzoekt de gang van zaken in de organisatie en rapporteert aan de hoogste leiding. Adviezen zijn niet echter bindend, de bestuurder blijft de beslissingen nemen.

Wat is een Functionaris Gegevensbescherming?

Een Functionaris voor de Gegevensbescherming (ook wel afgekort met: FG) is iemand die een organisatie deskundig en onafhankelijk begeleidt bij het verwerken van persoonsgegevens. De verwerking van persoonsgegevens moet sinds 25 mei 2018 voldoen aan de Europese wet de AVG, de Algemene Verordening Gegevensbescherming.

De Functionaris Gegevensbescherming is niet alleen een vraagbaak voor de organisatie op het gebied van privacy zaken, maar hij is ook een officiële toezichthouder. De FG controleert de organisatie op de toepassing en de naleving van de privacyregels. Niet alleen de AVG speelt hier een rol, maar ook bijvoorbeeld de ePrivacy richtlijnen en allerlei specifieke nationale regels, zoals in de Wgbo, de Wet op de Geneeskundige Behandeling en Onderzoek.

De taken van een Functionaris Gegevensbescherming staan ondubbelzinnig beschreven in de Algemene Verordening Gegevensbescherming. Er kan dan ook geen misverstand zijn over wat een FG wel of niet mag.

Voordelen van een Functionaris Gegevensbescherming

Het is al langer mogelijk om een officiële Functionaris Gegevensbescherming aan te stellen. Het grote verschil met de nieuwe Algemene Verordening Gegevensbescherming (AVG) is dat het voor bepaalde organisaties verplicht wordt om zo’n functionaris aan te stellen. Er zijn drie situaties waarbij het vanaf 25 mei 2018 verplicht is om een functionaris aan te stellen. Het is verstandig om als organisatie uit te zoeken of jij onder een van deze categorieën valt. Als dat het geval is, ben jij verplicht als organisatie om een Functionaris Gegevensbescherming aan te stellen.

Voor het gemak zullen wij alle drie de situaties benoemen en even kort bespreken. Onder de eerste noemer vallen overheidsinstanties, publieke organisaties en zorg- en onderwijsinstellingen. Dit spreekt voor zich. De tweede categorie slaat op organisaties die op grote schaal mensen volgen en hun persoonsgegevens verwerken. Denk hierbij aan ziekenhuizen of bedrijven die gebruik maken van cameratoezicht. Tot slot is er nog de derde situatie. Daar vallen organisaties onder die voornamelijk op grote schaal bijzondere persoonsgegevens verwerken. Denk bijvoorbeeld aan gegevens over de gezondheid, geloofsovertuiging, politieke opvatting of strafrechtelijke zaken.

Door de aanstelling van een Functionaris Gegevensbescherming verander je de verplichting om je met de AVG bezig te houden in het benutten van nieuwe kansen:

·        Een Functionaris Gegevensbescherming is dé uitgelezen manier om aan klanten én personeel te laten zien dat je hun gegevens belangrijk vindt. Je laat jouw organisatie immers onafhankelijk controleren op het toepassen van de juiste maatregelen voor privacybescherming en informatiebeveiliging. Zeker het vrijwillig aanstellen van een Functionaris Gegevensbescherming is iets wat je optimaal kunt uitventen.

·        Door het voortdurende toezicht weet je dat jouw organisatie zich aan de AVG houdt, of welke onderwerpen nog open staan. Doordat je een planning hebt gemaakt om openstaande punten op te pakken, ben je als bestuurder voortdurend ‘In Control’.

·        Inzicht op het gebied van informatiebeveiliging maakt ten slotte dat je je sterke en zwakke punten kent. Ook heb je een prioritering van de maatregelen die je nog moet oppakken. Duidelijkheid geeft zekerheid, en zekerheid brengt rust en vertrouwen… welke ondernemer wil dat niet?

Aanstelling van een Functionaris Gegevensbescherming

De beslissing om iemand aan te stellen als Functionaris Gegevensbescherming moet zorgvuldig worden genomen. Een Functionaris Gegevensbescherming moet aan verschillende eisen voldoen.

Bovendien mag de betreffende persoon niet tegelijkertijd een functie vervullen binnen de organisatie die strijdig is met deze functie.

Strijdige functies

Een Functionaris Gegevensbescherming mag niet tegelijkertijd een functie vervullen binnen de organisatie die strijdig is met deze functie. Als Functionaris Gegevensbescherming moet je controleren of het beleid van de organisatie en de uitvoering daarvan voldoet aan de geldende regelgeving. Ben je iemand die meehelpt het beleid te bepalen, of neem je belangrijke beslissingen op het gebied van de verweringen van persoonsgegevens, dan kun je niet niet “even ernaast” de functie van Functionaris Gegevensbescherming vervullen.

Strijdige functies zijn in ieder geval:

·        Directeur / bestuurder

·        Manager IT

·        Manager Personeelszaken / Human Resource

·        Informatiemanager

Maar ook een systeembeheerder kan door zijn werkzaamheden strijdige taken hebben.

Externe Functionaris Gegevensbescherming

Een organisatie mag een Functionaris Gegevensbescherming aanstellen die geen werknemer is van de eigen organisatie. Meestal wordt een gespecialiseerd bedrijf, zoals AVG Compleet, gevraagd om de taken van de Functionaris Gegevensbescherming uit te voeren. De organisatie krijgt dan één specifieke persoon toegewezen, die de eindverantwoordelijkheid draagt voor de functie van Functionaris Gegevensbescherming. Deze persoon wordt ook aangemeld bij de Autoriteit Persoonsgegevens als de officiële FG.

Deze persoon kan zich wel laten bijstaan door anderen, ofwel van de organisatie die de Functionaris Gegevensbescherming heeft aangesteld, of van de eigen organisatie. Hierdoor is het makkelijker om alle benodigde kennis en ervaring te kunnen bieden. Ook in geval van ziekte, vakantie of ontslag kan het gespecialiseerde bedrijf een andere specialist (al dan niet tijdelijk) de rol van Functionaris Gegevensbescherming laten vervullen.

Het aanstellen van een externe Functionaris Gegevensbescherming zorgt dus voor een stabielere situatie. Er is bovendien meer kennis en ervaring aanwezig dan meestal het geval is bij een interne werknemer die wordt aangesteld.

Eisen aan een Functionaris Gegevensbescherming

Niet iedereen die een FG-cursus van een paar dagen heeft gedaan is geschikt om de functie van Functionaris Gegevensbescherming te vervullen.

Een Functionaris Gegevensbescherming moet over kennis en kunde beschikken op de volgende onderwerpen:

1.      Wet en regelgeving, vooral maar niet uitsluitend, betreffende privacy

2.      ICT & Informatiebeveiliging

3.      Risico management

4.      Auditing

5.      Bedrijfsvoering

6.      Communicatie

7.      Consultancy

8.      Public Relations

Er zullen niet veel mensen expert zijn op al deze onderwerpen. Het is voor de hand liggend dat de eerste twee onderwerpen van groot belang zijn om bedreven in te zijn als Functionaris Gegevensbescherming.

Het is belangrijk voor een Functionaris Gegevensbescherming om in ieder geval basisvaardigheden en ervaring op de overige gebieden te hebben. Bovendien moet de FG zorgen dat hij of zij weet waar de eigen grenzen liggen, en weet wanneer iemand moet worden bijgeschakeld om mee te helpen.

Toezicht door de Functionaris Gegevensbescherming

Het toezicht door de Functionaris Gegevensbescherming kan door elke FG naar eigen inzicht worden uitgeoefend. Er is geen uniforme standaard voor het voldoen aan de AVG. Ook is er nog geen officieel erkend certificaat.

AVG Compleet heeft daarom zelf een toetsingsmodel ontwikkeld dat in de praktijk erg goed blijkt te werken. Hiermee kan een Functionaris Gegevensbescherming zowel grote als kleine organisaties toetsen op de mate van compliance aan de AVG en overige relevante wet- en regelgeving.

Dit toetsingsmodel bestaat uit verschillende levels:

Level 1: QuickScan AVG

Deze fase begint met een interview. Bij dit interview is in ieder geval de bestuurder aanwezig, soms ook de ICT manager en/of de HR manager. Een enkele keer nemen ook andere betrokken personen deel aan het interview.

Gedurende het interview komt alle informatie naar boven, die nodig is voor een “top-level risico analyse”. Hierin worden de meest urgente hiaten duidelijk gemaakt. Te denken valt bijvoorbeeld aan het ontbreken van privacy beleid, een verwerkingenregister, onvoldoende grip op de combinatie personeel en informatiebeveiliging of een ontbrekend risico management.

Vanuit de risico analyse wordt een rapportage opgesteld, met daarin de aandachtspunten en aanbevelingen om de hiaten aan te pakken. De organisatie kan vervolgens aan de gang met deze rapportage, zodat de meest urgente zaken zo snel mogelijk worden aangepakt.

Dit level is zeer geschikt om mee te beginnen bij een organisatie die niet eerder prioriteit aan de AVG heeft kunnen geven.

 

Level 2: Eerste Auditronde door de Functionaris Gegevensbescherming

Een organisatie die aangeeft het  eerste level, al dan niet op eigen kracht, afgerond te hebben, is klaar voor het volgende level. De Functionaris Gegevensbescherming kan een eerste echte audit houden.

Deze eerste audit combineert de juridische vereisten uit de AVG met concepten uit de wereld van de informatiebescherming. Hierdoor wordt de organisatie niet alleen gecontroleerd op het hebben van de juiste papieren, maar ook op het correct toepassen van informatiebeveiligingseisen, zoals personeelsbeheer, toegangscontroles en wachtwoordbeheer, crypto grafische methoden en continuïteitsbeheer.

De Functionaris Gegevensbescherming voelt op dit level de organisatie duidelijk steviger en diepgaander aan de tand dan bij het eerste level. De bevindingen komen in een duidelijk rapport te staan. De bestuurder van de organisatie wordt gevraagd een planning te maken voor het oppakken van de bevindingen.

Tijdens regelmatige overlegmomenten vraagt de Functionaris Gegevensbescherming naar de voortgang.

Level 3: Voortdurende verbetering en toetsing legitimiteit

Aandacht voor privacy en informatiebeveiliging is een voortdurende kwestie. Na het implementeren van alle benodigde zaken die op level 2 zijn benoemd, is het zaak om deze aandacht voortdurend vast te houden.

De Functionaris Gegevensbescherming helpt hierbij, door nieuwe ontwikkelingen te monitoren en te toetsen aan de AVG en overige relevante weet- en regelgeving. Ook is het nodig de dagelijkse gang van zaken te controleren. Het is immers goed mogelijk dat al dan niet bewust de toepassing van eerder vastgestelde procedures of registraties verwatert. Op papier lijt het dan nog steeds in orde, maar in de praktijk worden er fouten gemaakt die de toepassing van de AVG ondermijnen.

Van deze regelmatige toetsingsmomenten maakt de Functionaris natuurlijk ook een rapport, met eventuele bevindingen en aanbevelingen, voor het hoogste niveau van de organisatie. Het is immers het bestuur dat verantwoordelijk is voor het correct toepassen van de AVG.

   

Wat moet ik verwachten?

Neem contact op