020 22 659 03 info@avg-compleet.nl
Brochure externe fg inzetten

Functionaris Gegevensbescherming

“Alles over het inzetten van een Externe Functionaris Gegevensbescherming”

Een Functionaris voor de Gegevensbescherming (ook wel afgekort met: FG) is iemand die een organisatie deskundig en onafhankelijk begeleidt bij het verwerken van persoonsgegevens. De verwerking van persoonsgegevens moet sinds 25 mei 2018 voldoen aan de Europese wet de AVG, de Algemene Verordening Gegevensbescherming.

De FG is niet alleen een vraagbaak voor de organisatie op het gebied van privacy zaken, maar hij is ook een officiële toezichthouder. De FG controleert de organisatie op de toepassing en de naleving van de privacyregels. Niet alleen de AVG speelt hier een rol, maar ook bijvoorbeeld de e-privacyrichtlijnen en allerlei specifieke nationale regels, zoals bijvoorbeeld in de Wgbo (Wet op de Geneeskundige Behandeling en Onderzoek) of de Jeugdwet.

Taken van de FG

De taken van een Functionaris Gegevensbescherming staan ondubbelzinnig beschreven in de Algemene Verordening Gegevensbescherming. De belangrijkste werkzaamheden zijn:

 

  • Informeren en adviseren over hun verplichtingen uit hoofde van de AVG en andere gegevensbeschermingsbepalingen
  • Toezien op naleving van de AVG of andere gegevensbeschermingsbepalingen en van het beleid van de organisatie
  • Optreden als contactpunt voor de AP bij situaties met betrekking tot de verwerking van persoonsgegevens
  • Adviseren bij de uitvoering van privacy impact assessments (PIA)

Externe Functionaris Gegevensbescherming

Een organisatie mag een Functionaris Gegevensbescherming aanstellen die geen werknemer is van de eigen organisatie. Meestal wordt een gespecialiseerd bedrijf, zoals AVG Compleet, gevraagd om de taken van de Functionaris Gegevensbescherming uit te voeren. De organisatie krijgt dan één specifieke persoon toegewezen, die de eindverantwoordelijkheid draagt voor de functie van Functionaris Gegevensbescherming. Deze persoon wordt ook aangemeld bij de Autoriteit Persoonsgegevens als de officiële FG.

Deze persoon kan zich wel laten bijstaan door anderen, ofwel van de organisatie die de Functionaris Gegevensbescherming heeft aangesteld, of van de eigen organisatie. Hierdoor is het makkelijker om alle benodigde kennis en ervaring te kunnen bieden.

Grotere stabiliteit

Het aanstellen van een externe Functionaris Gegevensbescherming zorgt dus voor een stabielere situatie. Er is bovendien meer kennis en ervaring aanwezig dan meestal het geval is bij een interne werknemer die wordt aangesteld.

Externe FG bij AVG Compleet, plan een vrijblijvende kennismaking

Kies je voor een externe FG bij AVG Compleet, dan is er voor jouw FG altijd een achtervanger beschikbaar. Bij ziekte of vakantie is er altijd een vervanger aanwezig.

Het Expertteam van AVG Compleet

Naam(Vereist)
Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.

FUNCTIONARIS GEGEVENSBESCHERMING

Een Functionaris (voor de) Gegevensbescherming is een persoon, die deskundig en onafhankelijk toezicht houdt op de toepassing en de uitvoering van de AVG (de Algemene Verordening Gegevensbescherming) en alle andere toepasselijke privacyregelingen. Ook adviseert en ondersteunt de Functionaris Gegevensbescherming op het gebied van privacybescherming en informatiebeveiliging.

HET TOEZICHT DOOR EEN FUNCTIONARIS GEGEVENSBESCHERMING

Een Functionaris Gegevensbescherming houdt onafhankelijk en deskundig toezicht op de toepassing en naleving van de privacyregels in bijvoorbeeld de AVG en de ePrivacy richtlijnen.

De FG onderzoekt de gang van zaken in de organisatie en rapporteert aan de hoogste leiding. Adviezen zijn niet echter bindend, de bestuurder blijft de beslissingen nemen. 

 

COMMERCIELE VOORDELEN

Het hebben van een ervaren Functionaris Gegevensbescherming zou deel moeten uitmaken van het visitekaartje van jouw bedrijf, zeker wanneer je deze vrijwillig aanstelt.

Het hebben van een Functionaris Gegevensbescherming geeft aan, dat jouw organisatie onder onafhankelijk en deskundig toezicht staat bij de verwerking van persoonsgegevens en informatiebeveiliging.

Toezicht door de Externe Functionaris Gegevensbescherming

Het toezicht door de Functionaris Gegevensbescherming kan door elke FG naar eigen inzicht worden uitgeoefend. Er is geen uniforme standaard voor het voldoen aan de AVG. Ook is er nog geen officieel erkend certificaat.

AVG Compleet heeft daarom zelf een toetsingsmodel ontwikkeld dat in de praktijk erg goed blijkt te werken. Hiermee kan een FG zowel grote als kleine organisaties toetsen op de mate van compliance aan de AVG en overige relevante wet- en regelgeving.

Dit toetsingsmodel bestaat uit verschillende levels:

Rapportage AVG

Level 1: QuickScan AVG

Deze fase begint met een interview. Bij dit interview is in ieder geval de bestuurder aanwezig, soms ook de ICT manager en/of de HR manager. Een enkele keer nemen ook andere betrokken personen deel aan het interview.

Gedurende het interview komt alle informatie naar boven, die nodig is voor een “top-level risico analyse”. Hierin worden de meest urgente hiaten duidelijk gemaakt. Te denken valt bijvoorbeeld aan het ontbreken van privacy beleid, een verwerkingenregister, onvoldoende grip op de combinatie personeel en informatiebeveiliging of een ontbrekend risico management.

Vanuit de risico analyse wordt een rapportage opgesteld, met daarin de aandachtspunten en aanbevelingen om de hiaten aan te pakken. De organisatie kan vervolgens aan de gang met deze rapportage, zodat de meest urgente zaken zo snel mogelijk worden aangepakt.

Dit level is zeer geschikt om mee te beginnen bij een organisatie die niet eerder prioriteit aan de AVG heeft kunnen geven.

Meer over de Quickscan lees je hier.

Level 2: Eerste Auditronde door de Functionaris Gegevensbescherming

Een organisatie die aangeeft het  eerste level, al dan niet op eigen kracht, afgerond te hebben, is klaar voor het volgende level. De FG kan een eerste echte audit houden.

Deze eerste audit combineert de juridische vereisten uit de AVG met concepten uit de wereld van de informatiebescherming. Hierdoor wordt de organisatie niet alleen gecontroleerd op het hebben van de juiste papieren, maar ook op het correct
toepassen van informatiebeveiligingseisen, zoals personeelsbeheer, toegangscontroles en wachtwoordbeheer, crypto grafische methoden en continuïteitsbeheer.

De FG voelt op dit level de organisatie duidelijk steviger en diepgaander aan de tand dan bij het eerste level. De bevindingen komen in een duidelijk rapport te staan. De bestuurder van de organisatie wordt gevraagd een planning te maken voor het oppakken van de bevindingen.

Tijdens regelmatige overlegmomenten vraagt de Functionaris Gegevensbescherming naar de voortgang.

Level 3: Voortdurende verbetering en toetsing legitimiteit

Aandacht voor privacy en informatiebeveiliging is een voortdurende kwestie. Na het implementeren van alle benodigde zaken die op level 2 zijn benoemd, is het zaak om deze aandacht voortdurend vast te houden.

De Functionaris Gegevensbescherming helpt hierbij, door nieuwe ontwikkelingen te monitoren en te toetsen aan de AVG en overige relevante weet- en regelgeving. Ook is het nodig de dagelijkse gang van zaken te controleren. Het is immers goed mogelijk dat al dan niet bewust de toepassing van eerder vastgestelde procedures of registraties verwatert. Op papier lijkt het dan nog steeds in orde, maar in de praktijk worden er fouten gemaakt die de toepassing van de AVG ondermijnen.

Van deze regelmatige toetsingsmomenten maakt de Functionaris natuurlijk ook een rapport, met eventuele bevindingen en aanbevelingen, voor het hoogste niveau van de organisatie. Het is immers het bestuur dat verantwoordelijk is voor het correct toepassen van de AVG.

Brochure externe fg inzetten

Gratis checklist aanstellen functionaris gegevensbescherming

Download gratis

Lees hier wanneer je een functionaris gegevensbescherming (FG) moet aanstellen.

Naam(Vereist)
Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.

Eisen aan een Functionaris Gegevensbescherming

Niet iedereen die een FG-cursus van een paar dagen heeft gedaan is geschikt om de functie van Functionaris Gegevensbescherming te vervullen.

Een FG moet over kennis en kunde beschikken op de volgende onderwerpen:

  • Wet en regelgeving, vooral maar niet uitsluitend, betreffende privacy
  • ICT & Informatiebeveiliging
  • Risico management
  • Auditing
  • Bedrijfsvoering
  • Communicatie
  • Consultancy
  • Public Relations

Er zullen niet veel mensen expert zijn op al deze onderwerpen. Het is voor de hand liggend dat de eerste twee onderwerpen van groot belang zijn om bedreven in te zijn als Functionaris Gegevensbescherming.

Het is belangrijk voor een (externe) FG om in ieder geval basisvaardigheden en ervaring op de overige gebieden te hebben. Bovendien moet de FG zorgen dat hij of zij weet waar de eigen grenzen liggen, en weet wanneer iemand moet worden bijgeschakeld om mee te helpen.

Aanstelling van een Functionaris Gegevensbescherming

De beslissing om iemand aan te stellen als Functionaris Gegevensbescherming moet zorgvuldig worden genomen. Een Functionaris Gegevensbescherming moet aan verschillende eisen voldoen.

Bovendien mag de betreffende persoon niet tegelijkertijd een functie vervullen binnen de organisatie die strijdig is met deze functie.

Lees meer over het benoemen van een FG op deze pagina.

Voordelen van een Functionaris Gegevensbescherming

Het is al langer mogelijk om een officiële Functionaris Gegevensbescherming aan te stellen. Het grote verschil met de nieuwe Algemene Verordening Gegevensbescherming (AVG) is dat het voor bepaalde organisaties verplicht wordt om zo’n functionaris aan te stellen. Er zijn drie situaties waarbij het vanaf 25 mei 2018 verplicht is om een functionaris aan te stellen. Het is verstandig om als organisatie uit te zoeken of jij onder een van deze categorieën valt. Als dat het geval is, ben jij verplicht als organisatie om een Functionaris Gegevensbescherming aan te stellen.

Voor het gemak zullen wij alle drie de situaties benoemen en even kort bespreken. Onder de eerste noemer vallen overheidsinstanties, publieke organisaties en zorg- en onderwijsinstellingen. Dit spreekt voor zich. De tweede categorie slaat op organisaties die op grote schaal mensen volgen en hun persoonsgegevens verwerken. Denk hierbij aan ziekenhuizen of bedrijven die gebruik maken van cameratoezicht. Tot slot is er nog de derde situatie. Daar vallen organisaties onder die voornamelijk op grote schaal bijzondere persoonsgegevens verwerken. Denk bijvoorbeeld aan gegevens over de gezondheid, geloofsovertuiging, politieke opvatting of strafrechtelijke zaken.

In onze webshop kun je gratis een checklist downloaden, waarmee je snel bepaalt of jouw organisatie verplicht een FG moet aanstellen of niet.

Verplichting versus benutten van kansen

Door de aanstelling van een Functionaris Gegevensbescherming verander je de verplichting om je met de AVG bezig te houden in het benutten van nieuwe kansen:

  • Een Functionaris Gegevensbescherming is dé uitgelezen manier om aan klanten én personeel te laten zien dat je hun gegevens belangrijk vindt. Je laat jouw organisatie immers onafhankelijk controleren op het toepassen van de juiste maatregelen voor privacybescherming en informatiebeveiliging. Zeker het vrijwillig aanstellen van een Functionaris Gegevensbescherming is iets wat je optimaal kunt uitventen.
  • Door het voortdurende toezicht weet je dat jouw organisatie zich aan de AVG houdt, of welke onderwerpen nog open staan. Doordat je een planning hebt gemaakt om openstaande punten op te pakken, ben je als bestuurder voortdurend ‘In Control’.
  • Inzicht op het gebied van informatiebeveiliging maakt ten slotte dat je je sterke en zwakke punten kent. Ook heb je een prioritering van de maatregelen die je nog moet oppakken. Duidelijkheid geeft zekerheid, en zekerheid brengt rust en vertrouwen… welke ondernemer wil dat niet?

Strijdige functies

Een Functionaris Gegevensbescherming mag niet tegelijkertijd een functie vervullen binnen de organisatie die strijdig is met deze functie. Als Functionaris Gegevensbescherming moet je controleren of het beleid van de organisatie en de uitvoering daarvan voldoet aan de geldende regelgeving. Ben je iemand die meehelpt het beleid te bepalen, of neem je belangrijke beslissingen op het gebied van de verweringen van persoonsgegevens, dan kun je niet niet “even ernaast” de functie van Functionaris Gegevensbescherming vervullen.

Strijdige functies zijn in ieder geval:

  • Directeur / bestuurder
  • Manager IT
  • Manager Personeelszaken / Human Resource
  • Informatiemanager

Maar ook een systeembeheerder kan door zijn werkzaamheden strijdige taken hebben.

Benieuwd wat wij voor jou kunnen betekenen?