Een Functionaris voor de Gegevensbescherming (FG) is een persoon die aangesteld is binnen een organisatie om de veiligheid van het bedrijfsnetwerk en alle data te waarborgen.
Een Functionaris voor de Gegevensbescherming (FG) is een persoon die aangesteld is binnen een organisatie om de veiligheid van het bedrijfsnetwerk en alle data te waarborgen. Deze persoon houdt onder andere toezicht op een correcte naleving van de AVG/GDPR. In het Engels wordt dit ook wel een Data Protection Officer (DPO) genoemd.
Wie stelt een FG aan?
Een FG wordt aangesteld door de bestuurder (lees: Verantwoordelijke) van een organisatie.
Wat doet een FG?
Een Functionaris voor de Gegevensbescherming ziet toe op de correcte naleving van privacybeleid. Op die manier bevordert deze persoon dat persoonsgegevens zorgvuldig worden geregistreerd en gebruikt. Soms hebben FG’s ook een adviserende rol. Ze geven dan advies over de inrichting van technische en/of organisatorische veiligheidsmaatregelen.
De FG heeft binnen een organisatie meerdere taken en verantwoordelijkheden:
- Het opstellen van een privacybeleid organisatorisch privacy- en securitybeleid
- Toezien op een correcte uitvoering en handhaving van een organisatorisch privacy- en securitybeleid
- Het verzamelen van inventarisaties van gegevensverwerkingen
- Het geven van advies ten aanzien van technische en organisatorische veiligheidsmaatregelen
- Fungeren als eerste aanspreekpunt bij een cyberincident
- Verantwoordelijk voor het melden van datalekken
- Het verhogen van de bewustzijn rondom privacy-issues bij de medewerkers
Niet verplicht
De AVG verplicht organisaties in sommige gevallen tot het aanstellen van een FG. Toch is het raadzaam deze functie, eventueel als deeltaak, in alle gevallen te vervullen. Voor een wetmatige verwerking van privacygevoelige data is een overeenkomst tussen een ‘functionaris’ en ‘verantwoordelijke’ sowieso een must. Een FG verkleint dan ook het risico op compliance-problemen, cyberincidenten en datalekken veroorzaakt door ondoordacht menselijk handelen.
Eisen
Bestuursorganen kunnen niet worden aangesteld als Veiligheidsfunctionaris. De AVG stelt namelijk dat dit een natuurlijk persoon moet zijn. De FG kan bovendien niet een dubbelrol vervullen op een positie waarin het op andere wijze invloed heeft op zaken die de privacy aangaan, zoals een CISO of IT-manager. Hier ligt belangenverstrengeling namelijk op de loer. Het kan een persoon zijn die reeds bij de organisatie werkt, maar dat is niet verplicht. Organisaties kunnen ook een persoon aanstellen van buiten de eigen organisaties, op basis van een dienstverleningscontract.
Officiële certificeringseisen ontbreken op dit moment, maar dat gaat naar alle waarschijnlijkheid in de toekomst veranderen. Uiteraard moet een FG over voldoende kennis van de privacywetgeving beschikken.
Speciale bevoegdheden
Voor het goed kunnen uitoefenen van de taken en verantwoordelijkheden, moet de veiligheidsfunctionaris beschikken over speciale privileges en bevoegdheden. Zo moet deze persoon fysieke toegang hebben tot alle ruimtes van het kantoorpand. Ook moet deze persoon toegang hebben tot alle persoonsgegevens. Het spreekt voor zich dat een dergelijk persoon van onbesproken gedrag moet zijn. De rol van FGis een strikt vertrouwelijke. De FG geniet daarnaast ontslagbescherming. Dit om zijn onafhankelijke positie van het bestuur te waarborgen.
Alle berichten