Print:

Wie is toch die FG?

Ferry Waterkamp , Journalist

LinkedIn profiel

De ‘Functionaris Gegevensbescherming’ (FG) is uitgegroeid tot een bijna mythisch figuur. Een schaap met 5 of zelfs 6 poten, onafhankelijk, een spin in het web onder de Algemene Verordening Gegevensbescherming (AVG). Wat moet deze man of vrouw allemaal wel niet kunnen? Hieronder de antwoorden op deze en nog 8 andere vragen.

Wat is een FG?

Een FG – of ‘Data Protection Officer’ (DPO) in goed Engels – is een functionaris die binnen de organisatie toezicht houdt op de naleving van de privacywetgeving. Onder de huidige Wet bescherming persoonsgegevens (Wbp) is het niet verplicht een FG te benoemen. De AVG die vanaf 25 mei 2018 wordt toegepast, kent in sommige gevallen wel de verplichting tot het aanstellen van zo’n ‘interne toezichthouder’ die onafhankelijk zijn werk doet.

Hoe kan een FG onafhankelijk opereren?

De AVG heeft daarvoor een aantal waarborgen ingebouwd. Zo mag er geen belangenverstrengeling zijn. De FG mag binnen de organisatie dus geen functie vervullen waarin hij of zij ook verantwoordelijk is voor de verwerking van persoonsgegevens. Daarnaast mag de werkgever de FG geen instructies geven. Ook mag het uitoefenen van de ‘FG-taak’ niet leiden tot sancties of ontslag.

Wanneer is onder de AVG de aanstelling van een FG verplicht?

De aanstelling van een FG is verplicht voor deze drie typen organisaties:

  • Overheden en publieke organisaties

Het kan gaan om de rijksoverheid, gemeenten en provincies, maar ook om bijvoorbeeld zorg- en onderwijsinstellingen. Rechtbanken zijn nadrukkelijk uitgesloten van de verplichting om een FG aan te stellen.

  • Organisaties die op grote schaal bijzondere persoonsgegevens verwerken

Denk daarbij aan instanties die gegevens verwerken over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijk verleden.

  • Organisaties die vanuit hun kerntaken op grote schaal individuen volgen

De Autoriteit Persoonsgegevens (AP) geeft op haar website als voorbeeld organisaties die mensen profileren om een risico-inschatting te kunnen maken of die iemands gezondheid monitoren via wearables.

Maar wat verstaat de wetgever onder ‘op grote schaal’? En wanneer is iets een ‘kerntaak’?

Die vragen heeft de Artikel 29-werkgroep, een onafhankelijk Europees adviesorgaan op het gebied van persoonsgegevens en privacy, proberen te beantwoorden in zijn ‘Guidelines on Data Protection Officers’. Zo schaart de ‘WP29’ onder ‘kerntaken’ de ‘belangrijkste handelingen die nodig zijn om het doel van de verantwoordelijke of de verwerker te bereiken’. Onder die ‘handelingen’ kan ook de verwerking van persoonsgegevens vallen. Zo kan een ziekenhuis geen gezondheidszorg bieden zonder de verwerking van medische gegevens.

De WP29 laat echter in het midden wat ‘op grote schaal’ is. “Het is ook niet mogelijk exacte cijfers te geven die in alle gevallen gelden voor de hoeveelheid gegevens die verwerkt zou moeten worden of het aantal betrokken personen.” Ook op andere vragen blijven de antwoorden uit. Zo vindt de WP29 dat de EU-lidstaten zelf in nationale wetgeving moeten bepalen wat een ‘overheidsinstantie of -orgaan’ is.

FG’s waren toch alleen verplicht voor organisaties met meer dan 250 werknemers?

Dat is een hardnekkig misverstand. In de ontwerptekst van de Algemene Verordening Gegevensbescherming stond nog dat organisaties met meer dan 250 werknemers een ‘Data Protection Officer’ moeten aanstellen, maar die eis heeft de definitieve wettekst niet gehaald.

Is het voor organisaties mogelijk om op vrijwillige basis een FG aan te stellen?

Ja, de WP29 moedigt een vrijwillige benoeming zelfs aan omdat dit een organisatie meerdere voordelen biedt. Zo kan een FG ondersteuning bieden bij het uitvoeren van Privacy Impact Assessments en bij het in kaart brengen van de risico’s bij het verwerken van persoonsgegevens. Let wel op: een vrijwillige FG dient zich aan dezelfde regels en kaders te houden als een verplichte FG.

Wat doet een FG?

De FG ziet er intern op toe dat de AVG wordt nageleefd. Dit doet de functionaris onder andere door gegevensverwerkingen te identificeren en te analyseren om te kunnen controleren of die verwerkingen voldoen aan de AVG. Ook het informeren en adviseren van de verantwoordelijke of verwerker behoort tot de kerntaken. De AVG stelt wel nadrukkelijk dat de FG als ‘interne toezichthouder’ niet persoonlijk aansprakelijk is voor een overtreding van de privacywet.

De FG moet makkelijk bereikbaar zijn voor burgers, klanten en de AP als die vragen hebben over verwerkingen van persoonsgegevens. De toezichthouder houdt een openbaar register bij met daarin de bedrijven en organisaties die een FG hebben.

Wat moet een FG allemaal kunnen?

Van een FG wordt verwacht dat hij of zij bovengemiddelde vakkennis heeft van privacywetgeving en van de praktijk van gegevensbescherming. De FG moet dus zowel juridische kennis als ICT-en securitykennis hebben. De functionaris moet bijvoorbeeld weten wat de beveiligingsnormen zijn en wat er in die normen staat.

Ook kennis van de organisatie en de sector is belangrijk. Daarnaast moet de FG beschikken over vaardigheden om binnen de organisatie een cultuur van gegevensbescherming te ontwikkelen.

Hoe komt een (toekomstige) FG aan de noozakelijke kennis?

Er zijn diverse cursussen of opleidingen op het terrein van privacy.

  • De vierdaagse cursus ‘Privacy Officer 2.0’ behandelt de vereiste kennis en vaardigheden voor de (startende) Privacy Officer / FG en besteedt uitgebreid aandacht aan de AVG. Geschikt voor organisaties in de private en (semi)publieke sector. Met insights van ervaren Privacy Officers.
  • Speciaal voor gemeenten en publieke organisaties is er de vierdaagse cursus ‘FG in de publieke sector’ ‘Privacy Officer 2.0’. Deze cursus gaat specifiek in op publieke wet- en regelgeving (oa Sociaal Domein) en issues en uitdagingen voor de FG in het publieke domein. Met veel praktijk en interactie.
  • Voor wie zich nog verder wil verdiepen is er de tiendaagse beroepsopleiding ‘Certified Data Protection Officer’. Deze opleiding is speciaal ontwikkeld voor de gevorderde Data Protection Officer/FG. Les van topdocenten. Cursisten die de opleiding goed doorlopen verdienen de CDPO-titel, komen in het register Certified Data Protection Officers en treden toe tot het netwerk van CDPO-ers.
  • Het IIR-congres ‘Implementatie AVG’ op 12 en 13 oktober gaat specifiek in op de praktische implementatie van de AVG, actualiteiten en good practices per sector. Met insights en concrete handvatten van experts en voorlopers uit publieke, private en gereguleerde sector.