Functionaris gegevensbescherming

Moet ik een FG aanstellen?

Beantwoord de vragen via ons interactieve stroomschema om erachter te komen!

*Rechtbanken die handelen in hun rechterlijke hoedanigheid zijn een uitzondering!

Ik verwerk gevoelige gegevens of gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten

Ik doe dit op grote schaal

Ik hou regelmatig en systematisch toezicht op personen

Mijn kernactiviteiten vereisen de verwerking van gevoelige gegevens of gegevens met 
betrekking tot strafrechtelijke veroordelingen en strafbare feiten

Ik doe dit op grote schaal

Mijn kernactiviteiten vereisen regelmatige en systematische monitoring

Moet ik een FG aanstellen?

Ja, de aanstelling van een FG is verplicht

Moet ik een FG aanstellen?

Nee, de aanstelling van een FG is vrijwillig.
Het wordt hoe dan ook aangemoedigd.

Wat is een FG en heeft je organisatie er een nodig?

Wat is een FG en wat doen deze?

De functionaris gegevensbescherming (ook wel FG genoemd) is een gegevensbeschermingsdeskundige die advies geeft over de naleving van gegevensbescherming binnen een organisatie.

De FG moet naar behoren en tijdig worden betrokken bij alle kwesties die verband houden met de bescherming van persoonsgegevens.

Volgens de AVG zijn de taken van de FG in ieder geval de volgende:

  • de organisatie en haar medewerkers informeren en adviseren over de naleving van de gegevensbescherming;
  • toezicht houden op de naleving van de gegevensbescherming;
  • advies geven over verzoeken met betrekking tot de ‘data protection impact assessment’ (DPIA);
  • optreden als contactpunt voor de gegevensbeschermingsautoriteit (DPA) en samenwerken met die gegevensbeschermingsautoriteit;
  • aanspreekpunt zijn voor individuen.

De aanwezigheid van de FG wordt over het algemeen aanbevolen wanneer beslissingen met gevolgen voor gegevensbescherming worden genomen. De FG moet ook onmiddellijk worden geraadpleegd zodra zich een datalek of een ander incident heeft voorgedaan.

In de praktijk wordt de FG ook vaak door de verwerkingsverantwoordelijke of de gegevensverwerker belast met het bijhouden van de verwerkingsactiviteiten.

Link
Art. 38 AVG

EUR-Lex

Link
Art. 39 AVG

EUR-Lex

Link
de Groep artikel 29: richtsnoeren voor functionarissen gegevensbescherming

Nieuwszaal van de Europese Commissie

Heeft mijn organisatie een FG nodig?

De benoeming van een FG is verplicht in de volgende drie gevallen:

  • de organisatie is een overheidsinstantie die de verwerking van persoonsgegevens uitvoert;
  • de kernactiviteiten van de organisatie bestaan uit regelmatige en systematische monitoring van personen op grote schaal, bijvoorbeeld geolocatie via een mobiele applicatie, of bewaking van winkelcentra en openbare ruimten via cameratoezicht;
  • de kernactiviteiten van de organisatie bestaan uit grootschalige verwerking van bijzondere gegevens.

De begrippen „kernactiviteiten”, „regelmatige en systematische monitoring” en „grootschalig” zijn van cruciaal belang om te bepalen of een organisatie een FG moet aanstellen.

„Kernactiviteiten”: de verwerkingen zijn van essentieel belang om de doelstellingen van de verwerkingsverantwoordelijke of de verwerker te verwezenlijken. Deze omvatten ook alle activiteiten waarbij de verwerking van gegevens een onlosmakelijk onderdeel vormt van de activiteit van de verwerkingsverantwoordelijke of de verwerker.

„Grootschalig” hangt af van verschillende factoren, zoals het volume van de verwerkte gegevens, het aantal betrokken personen — hetzij als een bepaald aantal, hetzij als percentage van de betrokken populatie, de duur en de geografische reikwijdte van de verwerking.

„Regelmatig en systematisch toezicht” omvat alle vormen van tracking en profilering op het internet, inclusief vormen met het oog op ‘behavioral advertising”. Het begrip „monitoring” is echter niet beperkt tot de online omgeving.

In de praktijk

  • Kernactiviteiten

Het belangrijkste doel van een kliniek is bijvoorbeeld om gezondheidsdiensten aan personen te verlenen. In dit geval moet de verwerking van gezondheidsgegevens, zoals de gezondheidsdossiers van patiënten, worden beschouwd als een van de kernactiviteiten van de organisatie.
Alle organisaties voeren echter bepaalde ondersteunende activiteiten uit, bijvoorbeeld het betalen van hun werknemers of het uitvoeren van standaard IT-ondersteunende activiteiten. Dit zijn voorbeelden van noodzakelijke ondersteunende functies voor de kernactiviteit of hoofdactiviteit van de organisatie. Hoewel deze activiteiten noodzakelijk of essentieel zijn, worden ze meestal beschouwd als nevenfuncties in plaats van een kernactiviteit.

 

  • Grootschalig

Voorbeelden van grootschalige verwerking zijn bijvoorbeeld:

  1. de verwerking van patiëntgegevens in het kader van de dagelijkse activiteiten van een ziekenhuis;
  2. de verwerking van klantgegevens in het kader van de dagelijkse activiteiten van een verzekeringsmaatschappij of een bank;
  3. de verwerking voor statistische doeleinden van actuele locatiegegevens van klanten van een internationale fastfoodketen door een in dergelijke diensten gespecialiseerde onderaannemer;
  4. verwerking van persoonsgegevens voor ‘behavioral advertising’ door een zoekmachine;
  5. de verwerking van gegevens door telefoon- en internetproviders.

Voorbeelden van verwerking die niet als grootschalig zouden worden beschouwd:

  1. verwerking van patiëntgegevens door één huisarts;
  2. verwerking van persoonsgegevens met betrekking tot veroordelingen en strafbare feiten door een individuele advocaat.

 

  • Regelmatige en systematische monitoring

Regelmatige en systematische monitoring heeft bijvoorbeeld betrekking op retargeting per e-mail; datagestuurde marketingactiviteiten; profilering en scoren met het oog op risicobeoordeling (bv. voor kredietscore, vaststelling van verzekeringspremies, fraudepreventie, opsporing van witwassen); locatietracking (bijvoorbeeld via mobiele apps); loyaliteitsprogramma’s; monitoring van wellness-, fitness- en gezondheidsgegevens via draagbare apparaten; cameratoezicht; aangesloten apparaten (bijv. slimme meters), slimme auto’s, domotica, enz.

Als zodanig moet een verwerker die als kernactiviteit heeft om website-analysediensten en ondersteuning bij gerichte reclame en marketing te bieden, een FG aanstellen.

Je kunt altijd op vrijwillige basis een FG aanstellen, ook als dit niet wettelijk verplicht is. Houd er rekening mee dat je in dat geval moet voldoen aan alle bepalingen van de AVG met betrekking tot de taken en de functie van de functionaris gegevensbescherming. Daarom wordt geadviseerd om de titel van FG alleen te gebruiken voor een persoon wiens functie en positie overeenkomen met de beschrijving van de AVG.

Link
Art.37 AVG

EUR-Lex

Link
Art.38 AVG

EUR-Lex

Link
Art.39 AVG

EUR-Lex

Link
de Groep artikel 29: richtsnoeren voor functionarissen gegevensbescherming

Nieuwszaal van de Europese Commissie

Wie kan FG zijn in mijn organisatie?

De FG moet zijn taken en taken op onafhankelijke wijze kunnen uitvoeren. Dit betekent dat je organisatie:

  • de FG geen instructies mag geven over de uitvoering van de taken als functionaris gegevensbescherming;
  • de FG niet mag bestraffen of ontslaan voor het uitvoeren van de taken.

De autonomie van FG’s betekent echter niet dat zij beslissingsbevoegdheden hebben die verder reiken dan hun taken. Organisaties blijven verantwoordelijk voor de naleving van de wetgeving inzake gegevensbescherming en moeten in staat zijn om naleving aan te tonen.

De FG moet worden gezien als een gesprekspartner binnen de organisatie en moet deel uitmaken van de discussies over gegevensverwerkingsactiviteiten binnen de organisatie.

FG’s rapporteren rechtstreeks aan het hoogste managementniveau van de verwerkingsverantwoordelijke of de verwerker.

FG’s kunnen andere taken binnen de organisatie uitvoeren, maar dit mag geen belangenconflict tot gevolg hebben. Dit houdt in dat de FG geen positie kan hebben waarin zij het doel en de middelen van de verwerkingsactiviteiten van persoonsgegevens bepalen. Conflicterende functies omvatten voornamelijk managementfuncties, maar kunnen ook andere functies omvatten indien zij leiden tot het bepalen van de doeleinden en verwerkingsmiddelen.

Het is op grond van de AVG mogelijk om een externe FG aan te stellen met een contract voor de diensten. Dit contract kan worden gesloten met een persoon of een organisatie. In dit laatste geval is het van essentieel belang dat elk lid van de organisatie geen belangenconflict heeft en wordt beschermd tegen oneerlijke beëindiging van een dienstcontract, maar ook tegen oneerlijk ontslag van een individueel lid van de organisatie voor activiteiten als FG.

Je organisatie moet de FG bijstaan door toegang te verlenen tot alle verwerkingen en tot alle persoonsgegevens die in het kader van deze verwerkingen worden verwerkt. Het is van cruciaal belang dat de FG zo vroeg mogelijk wordt betrokken bij alle kwesties in verband met gegevensbescherming. Aan de FG moeten ook de juiste middelen ter beschikking worden gesteld om de taken uit te kunnen voeren (tijd, opleiding, uitrusting en financiële middelen).

In de praktijk

Bij het uitvoeren van hun taken mogen FG’s niet worden geïnstrueerd over hoe om te gaan met een zaak. De FG mag bijvoorbeeld geen instructies krijgen over wat het resultaat van een advies moet zijn, over hoe zij een klacht van een persoon moeten onderzoeken, of over de vraag of de raadpleging van de gegevensbeschermingsautoriteit passend of verplicht is. Bovendien mag de FG niet worden opgedragen om een bepaald standpunt in te nemen over een kwestie die verband houdt met het recht inzake gegevensbescherming, bijvoorbeeld een specifieke uitlegging van de wet.

Link
Art. 38 AVG

EUR-Lex

Link
Art. 39 AVG

EUR-Lex

Link
de Groep artikel 29: richtsnoeren voor functionarissen gegevensbescherming

Nieuwszaal van de Europese Commissie

Checklist voor het aanstellen van een FG

  • Controleer of een FG verplicht is: Controleer of je een FG moet aanstellen en, bij twijfel, documenteer de redenen waarom je al dan niet een FG aanwijst.
  • Als een FG vereist is:
    • Kies tussen een interne of externe FG: Als een FG nodig is, bepaal dan of deze onderdeel is van je organisatie of dat je kiest voor een FG op basis van een servicecontract;
    • Ga na of de FG over de professionele kwaliteiten en deskundigheid op het gebied van gegevensbeschermingswetgeving en -praktijken beschikt en over het vermogen om de taken uit te voeren;
    • Verifieer onafhankelijkheidsvereisten: Controleer of je FG andere taken heeft die de onafhankelijkheid in het gedrang kunnen brengen bij de uitvoering van de taken (belangenconflicten);
    • Ontwikkel standaardprocedures binnen je organisatie voor de betrokkenheid van de FG.
  • Als een FG niet vereist is:
    • Wees je bewust: Zelfs als je geen FG aanwijst, moet je nog steeds voldoen aan een aantal vereisten inzake gegevensbescherming. Wij adviseren je om op vrijwillige basis een FG aan te stellen, of een persoon die niet de titel van FG heeft, die, zelfs als hij de taken van een FG niet volledig uitvoert, toezicht houdt op de naleving en optreedt als contactpersoon voor personen die hun rechten van betrokkene uitoefenen.