Functionaris Gegevensbescherming (FG):
begin van een nieuw privacytijdperk

De EU-lidstaten hebben in april 2016 afgesproken dat ze allemaal dezelfde regels voor gegevensbescherming toe zullen passen. De Algemene Verordening Gegevensbescherming (AVG) stelt de betrokkenen (cliënten, patiënten, burgers, medewerkers, leerlingen) centraal. Zij krijgen de controle over hun persoonsgegevens – feitelijk hun leven – terug doordat de wetgever de betrokkenen faciliteert met verregaande rechten.

Organisaties moeten maatregelen nemen om aan die uitgebreidere rechten te kunnen voldoen. Rechten en verplichtingen werken als communicerende vaten: nemen de rechten toe, dan nemen de inspanningen voor de verwerkingsverantwoordelijke ook (exponentieel) toe. De AVG zal vanaf 25 mei 2018 worden gehandhaafd en vanaf deze datum dienen organisaties zich te kunnen verantwoorden over de effectieve werking van de beheers- en beveiligingsmaatregelen.

Functionaris Gegevensbescherming (FG): Belangrijke stap richting compliance

Belangrijke stap richting compliance

Veel organisaties, zowel publieke instellingen als private bedrijven, zullen een Functionaris Gegevensbescherming (FG) willen of moeten aanwijzen. Met het aanwijzen van een FG zet een organisatie een belangrijke stap naar compliancy met de AVG.

Voor veel organisaties is het aanstellen van een FG nieuw. In de praktijk zien we dan ook dat organisaties worstelen met de invulling hiervan in de praktijk. De AVG is duidelijk over de taken, bevoegdheden en verantwoordelijkheden van een FG. Vanuit de gezamenlijke Europese toezichthouders, verenigd in de WP29-Werkgroep, is een nadere uitwerking in richtlijnen vastgelegd.

De belangrijkste (wettelijke) taak van de FG is om de naleving van de verordening te controleren. Concreet komt het erop neer dat de FG informatie verzamelt over de verwerkingen van persoonsgegevens, de naleving van de verwerkingsactiviteiten analyseert en controleert en hierover de verwerkingsverantwoordelijke informeert, adviseert en aanbevelingen doet.

De FG wordt aangewezen op grond van zijn professionele kwaliteiten. In het bijzonder op zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming. De bij de Autoriteit Persoonsgegevens (AP) ingeschreven FG heeft een formeel juridische status en zal door de verwerkingsverantwoordelijke zijn aangesteld. Het registreren van de FG bij de toezichthouder is van essentieel belang omdat de FG wordt gezien als vooruitgeschoven post van de toezichthouder. Hij/zij dient als eerste aanspreekpunt voor de AP en voor betrokkenen.

Wanneer is een FG verplicht?

Of een organisatie een FG aan moet stellen is beschreven in de AVG en wordt op nationaal voor een aantal sectoren bepaald. Volgens de AVG geldt de verplichting voor overheidsinstanties en overheidsorganen, wanneer een organisatie regelmatig en stelselmatig betrokkenen observeert, of wanneer een organisatie hoofdzakelijk is belast met de verwerking van bijzondere persoonsgegevens. Vanuit nationale wetgeving en richtlijnen worden hier aanvullingen op bepaald. Zo geldt bijvoorbeeld de verplichting voor een zorgaanbieder vanuit de Wet kwaliteit, klachten en geschillen zorg (Wkkgz) en is vanuit een richtlijn van de PO/VO-raad bepaald dat scholen eveneens een FG aangesteld moeten hebben.

De verwachting is dat steeds meer overkoepelende organisaties met dergelijke richtlijnen komen. De AVG kent immers een omgedraaide bewijslast. Dit houdt in dat als je als bedrijf of instelling geen FG hebt aangesteld, argumenten moet kunnen overleggen waarom dit niet is gebeurd.

Onafhankelijkheid van de FG

Een belangrijke voorwaarde voor het functioneren van de FG is dat hij zijn taken onafhankelijk kan uitoefenen. Dit betekent dat de FG geen instructies mag ontvangen over hoe bepaalde aangelegenheden moeten worden behandeld, bijvoorbeeld hoe een klacht moet worden onderzocht of al dan niet de toezichthouder geraadpleegd moet worden. De FG rapporteert aan de hoogst leidinggevende van een organisatie. De verwerkingsverantwoordelijke blijft verantwoordelijk voor de naleving van de wet- en regelgeving inzake gegevensbescherming en moet die naleving ook aan kunnen tonen. Als de verwerkingsverantwoordelijke beslissingen neemt die niet in lijn liggen met de AVG en het advies van de FG, moet hierover verantwoording kunnen worden overlegd. Een advies van een FG kan dan ook als dwingend worden gezien.

Handhaving door Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens heeft aangegeven streng te controleren op de aanwezigheid van de FG in gevallen waar deze verplicht is. Er is geen excuus mogelijk en een boete is onvermijdelijk wanneer blijkt dat aan de verplichte aanstelling niet is voldaan. Verder is aangegeven dat er zal worden gecontroleerd op de deskundigheid en onafhankelijke positie van de FG. Dit is logisch: de AP stelt dat de wettelijk verplichte samenwerking op basis van deze randvoorwaarden moet kunnen plaatsvinden. Bij het aanstellen van een FG is het dus zaak zich ervan te vergewissen dat de kandidaat-FG over voldoende kennis op het gebied van gegevensbescherming beschikt. En dat de rol van FG in de organisatie wordt belegd bij een persoon die geen conflicterende activiteiten uitoefent. Door de gezamenlijke Europese toezichthouders zijn een aantal functies uitgesloten. Denk onder andere aan directie en leidinggevenden en IT-gerelateerde functies, waaronder de CISO.

Totaaloplossing

Inmiddels komen steeds meer organisaties erachter dat de impact van de AVG groter is dan verwacht. Tevens ervaren zij dat het moeilijk is om te bepalen welke beheers- en beveiligingsmaatregelen worden gevraagd om zich uiteindelijk te kunnen verantwoorden over het privacy- en informatiebeveiligingsbeleid. Het ontbreekt aan handvatten, kennis en resources om de benodigde stappen te zetten en de AVG goed te implementeren.

Het besef groeit dat het geen eenmalige actie is, maar dat het nooit ophoudt. De AVG is blijvend. Daardoor moet er continu beheer plaatsvinden op de privacyhuishouding en moet in een ‘privacyboekhouding’ worden vastgelegd om aantoonbaar te kunnen voldoen.

De behoefte naar een totaaloplossing stijgt, zeker nu 25 mei 2018 nabij is. Om aan deze vraag te kunnen voldoen is YourSafetynet een samenwerking aangegaan met Privacy Protection Europe (PPE). YourSafetynet biedt met haar doordachte platform stap-voor-stap de juiste handvatten voor het nemen van de benodigde maatregelen. De medewerkers van PPE geven daarbij invulling op het gebied van deskundige resources en verlenen ondersteuning bij de implementatie en het beheer van gegevensbescherming. Niet alleen worden klanten op deze manier geholpen met de operationele invulling, maar is ook de onafhankelijkheid gewaarborgd.

Privacy as a Service

Privacy Protection Europe biedt met haar Privacy as a Service de mogelijkheid om effectief en kostenefficiënt op te treden als externe FG en voor klanten het beheer op het gebied van privacy- en gegevensbescherming over te nemen. Dit beheer bestaat onder andere uit het opzetten en bijhouden van de privacy boekhouding, het afhandelen van eventuele datalekken, het afhandelen van verzoeken van betrokkenen en het contractmanagement met ketenpartners. Ook verleent PPE ondersteuning bij de uitvoering van impact assessments en het toepassen van Privacy by Design. De medewerkers van PPE kunnen daarnaast tijdens de implementatie het projectmanagement voor hun rekening nemen. Periodiek zal de externe FG samen met de verwerkingsverantwoordelijke een Verklaring van Verantwoordelijkheid (VvV) opstellen om de organisatie in staat te stellen te kunnen voldoen aan de wettelijke verantwoordingsplicht (Art. 5.2 AVG).

Om zo kostenefficiënt te werk te gaan wordt er vooraf gezamenlijk een inschatting gemaakt van de benodigde inzet. Op basis hiervan worden de uren in rekening gebracht. Wanneer blijkt dat er te weinig tijd is ingekocht wordt dit tijdig gesignaleerd en worden nieuwe afspraken gemaakt. Wanneer blijkt dat de inschatting te ruim is geweest neemt de klant de rest-uren mee naar de volgende serviceperiode.

Over Privacy Protection Europe

Privacy Protection Europe is een expertisekantoor op het gebied van privacy- en gegevensbescherming. PPE staat onder leiding van Richard van Ineveld. Richard heeft na zo’n 25 jaar werkzaam te zijn geweest in de softwareontwikkeling, in 2012 de omslag gemaakt naar het vakgebied privacy- en gegevensbescherming. Hij heeft een tweejarige post HBO-opleiding gevolgd tot Functionaris Gegevensbescherming en was in de afgelopen 5 jaar nauw betrokken bij het begeleiden van projecten met betrekking tot de meldplicht datalekken en AVG. Hij is aangesteld als externe FG bij een aantal organisaties en is lid van het Nederlands Genootschap van Functionarissen Gegevensbescherming (NGFG). Al bij het verschijnen van de eerste concept teksten van de AVG heeft hij hiervan kennis genomen en heeft dus de totstandkoming van de AVG van dichtbij mee mogen maken.

De FG’s van Privacy Protection Europe hebben allen een erkende opleiding tot FG gevolgd en aantoonbare deskundigheid en ervaring in het privacy vak. Zij worden daarnaast verplicht tot het op peil houden van hun kennis door middel van permanente educatie. Door het inzetten van medewerkers van Privacy Protection Europe is de deskundigheid en onafhankelijkheid gewaarborgd.

Wat is dataminimalisatie?

De AVG / GDPR kent een regelmatig terugkerend begrip: dataminimalisatie. Dit houdt in dat je als organisatie niet meer gegevens mag verzamelen dat strikt noodzakelijk voor het beoogde doel. Of zoals in de wettekst officieel gesproken wordt: Dataminimalisatie houdt in dat bij het verzamelen en verwerken van persoonsgegevens niet meer gegevens mogen worden gebruikt dan nodig is om het doel waarvoor ze gebruikt zullen worden te bereiken.

Privacymaatregelen? Vergeet het papier niet

Met de deadline voor de AVG / GDPR in het vooruitzicht zijn veel bedrijven druk doende met de noodzakelijke voorbereidingen. Daarbij focussen velen enkel op de digitale datahuishouding en is papier een ondergeschoven kindje. Dat kan allerlei vervelende gevolgen hebben en leidt in ieder geval niet tot volledige compliance.

Aanmelden nieuwsbrief

Blogs en artikelen over dataprivacy, IT-beleid, de privacywetgeving en aanverwante onderwerpen. Blijf up-to-date en laat je niet verrassen.

Je bent succesvol aangemeld voor onze nieuwsbrief!

Whitepaper GDPR

Download de Whitepaper GDPR

Wilt u meer weten over de Privacywetgeving, de AVG/GDPR en de concequenties voor uw organisatie? Vul dan uw naam en e-mailadres in. U ontvangt vervolgens een e-mail met daarin een download-link.

Bedankt voor het aanvragen van de Whitepaper. Check uw e-mail... ook uw SPAM-box.