Functionaris voor de Gegevensbescherming in veel gevallen verplicht
Op dit moment mogen bedrijven en organisaties zelf bepalen of ze een Functionaris voor de Gegevensbescherming (FG) benoemen, maar dat duurt niet lang meer. Uiterlijk op 25 mei 2018, als de Europese Privacyverordening van kracht is, MOETEN bedrijven en organisaties in een aantal situaties een FG benoemen. Een Functionaris voor de Gegevensbescherming, vooral bekend onder de Engelse benaming Data Protecion Officer (DPO), houdt toezicht op de naleving van de Wet Bescherming Persoonsgegevens (Wbp). De wettelijke taken en bevoegdheden van de FG geven hem of haar een onafhankelijke positie in de organisatie. Het is mogelijk een externe medewerker als FG aan te stellen. Sterker nog, het biedt voordelen om een externe FG in te huren, maar daar komen we later op terug.
De nieuwe Europese Privacyverordening (de Algemene Verordening Gegevensbescherming) stelt een FG verplicht bij:
Organisaties die vanwege aard of omvang op grote schaal persoonsgegevens verwerken
Overheidsdiensten, uitgezonderd gerechten
Per land kunnen andere verplichte situaties worden toegevoegd. De aanvankelijke eis dat een FG verplicht is bij bedrijven met meer dan 250 werknemers, is vervallen.
Wat doet een Functionaris voor de Gegevensbescherming?
De activiteiten van de FG of DPO omvatten onder meer:
toezicht houden op naleving van privacy wetten en regels
verzamelen van inventarisaties van gegevensverwerkingen
ontwikkelen van interne regelingen
bijhouden van meldingen van gegevensverwerkingen
behandelen van vragen en klachten van personeelsleden, klanten, patiënten
voorlichten over privacy (o.a. privacy by design and privacy by default)
adviseren over technologie en beveiliging
Een FG moet onafhankelijk kunnen werken. Hij of zij rapporteert aan de Raad van Bestuur. Hij/zij kan overleggen met het College Bescherming Persoonsgegevens (Cbp). Er is geen meldingsplicht bij het Cbp voor onregelmatigheden. De Autoriteit Persoonsgegevens (AP) krijgt steeds meer bevoegdheden en kan steeds hogere boetes uitdelen. Laat het zo ver niet komen! Word ‘privacycompliant’ en stel een FG aan.
Een externe FG biedt voordelen
De FG kan een externe medewerker zijn. Dit heeft zelfs voordelen ten opzichte van een interne FG:
Het biedt een betere waarborg voor de onafhankelijkheid van de FG. Hij/zij wordt immers niet gehinderd door ‘bedrijscultuur’, ‘politiek’ of ‘lange tenen’ binnen de organisatie.
Een externe FG heeft meestal ervaring met meerdere bedrijven en toegang tot een netwerk van andere functionarissen. Dit kan zijn werk aanzienlijk vergemakkelijken.