SafeHarbour-Blog-FG-of- Privacy-Functionaris--Het- antwoord-op-al-uw- vragen!
13.02.2018

FG of Privacy Officer? Het antwoord op al uw vragen!

Ben ik verplicht om een functionaris gegevensbescherming (FG) aan te stellen? Het is de vraag waar organisaties mee worstelen. Onder de AVG wordt dit veelal verplicht. Maar wanneer uw organisatie behoort tot de groep waar deze verplichting niet (nog niet) voor geldt, kan er ook gekozen worden voor de ‘FG-light’ variant. Voor uw inzicht geven wij antwoord op een aantal veelgestelde vragen en hebben wij de FG-varianten voor u op een rijtje gezet.

Wanneer is de FG verplicht?

Het aanstellen van een FG is verplicht voor:

  • overheidsinstanties;
  • organisaties die op grote schaal mensen observeert (waar ook het volgen van online activiteiten onder kan vallen);
  • organisaties die op grote schaal bijzondere persoonsgegevens verwerken.

Wanneer spreek je van grootschalige verwerking?

Er is geen pasklaar antwoord voor de vraag;” wanneer spreek je van grootschalige verwerkingen?” Dit zal wel even zo blijven, want nadere uitleg van de toezichthouder hoeven we de komende tijd niet te verwachten. De Artikel 29 werkgroep heeft al guidelines uitgebracht die vertaald zijn door de AP naar de ‘Richtlijnen voor Functionarissen voor de Gegevensbescherming (FG’s)’. Daarin geven ze voorbeelden die alsnog voor allerlei uitleg vatbaar zijn. Het is dan wachten tot partijen op de vingers worden getikt voor meer duidelijkheid.

Ook interessant! Timeline 2018: Krijg inzicht in alle Privacy, Security & Auditing deadlines!

Wat te doen bij twijfel?

Wie twijfelt over het aanstellen van een FG moet vooral niet stil blijven staan. Er zijn prima (tijdelijke) oplossingen voorhanden om werk te maken van privacy zonder te blijven hangen in de lastige discussie tussen wel of geen FG. Je kan kiezen voor de DPO as a Service, een Privacy Projectteam of een Privacy Officer. In principe kan je op dit punt deze functie naar eigen inzicht invullen. De benaming van deze functie staat ook vrij. Let er wel op dat bij de benoeming heel duidelijk is dat het hier geen officiële FG betreft. Er mag geen verwarring ontstaan over deze wettelijk term. Zorg er dus voor dat in zowel de interne- als de externe communicatie naar voren komt dat het hier een adviseur, of een adviesteam betreft.

DPO as a Service

De DPO-as-a-Service, ofwel de externe FG, kan worden aangenomen voor bijvoorbeeld een dag in de week. Het voordeel is dat er kennis van de AVG en vaak ook ervaring wordt binnengehaald. Een nadeel is dat de persoon onherroepelijk een afstand houdt tot de organisatie omdat hij van buiten komt en niet iedere dag aanwezig is.

Het Privacy Projectteam

Een andere oplossing is kiezen voor het inrichten van een Privacy Projectteam. Een prima tijdelijke oplossing. Wel zal het projectteam moeten toewerken naar de fase van na het project waarbij privacy in beheer wordt genomen.

De Privacy Officer

Een derde mogelijkheid is het aanstellen van een Privacy Officer. Een Privacy Officer is geen FG, maar hij/zij is wel belast met alle privacy taken. Dit zien wij als goede oplossing, zeker als het een persoon is uit de eigen organisatie die in het privacy vakgebied wil doorgroeien. Het hoeft (nog) geen expert te zijn. Voor kennis en ondersteuning zijn voldoende instrumenten beschikbaar. Denk hierbij aan het privacy management systeem van SafeHarbour.
Let er bij het aannemen van een Privacy Officer wel op dat hij/zij geen wettelijke bescherming tegen ontslag of aanwijzingen vanuit de organisatie heeft. Wanneer een organisatie hier te makkelijk mee omgaat (‘het is maar een advies’) kan dit op termijn de kwaliteit van de inrichting en uitvoer van het privacybeleid ondermijnen. De persoon kan dan in een onmogelijke positie komen.

Onafhankelijkheid is altijd key!

Of je nou kiest voor een FG, de Privacy Officer of het Privacy Projectteam, onafhankelijkheid moet de boventoon voeren. (art. 38 lid 3 AVG). Naast de rol van gegevensbeschermer kunnen meerdere taken en plichten worden vervuld (art. 38 lid 6 AVG), maar dat mag nooit tot belangenconflicten leiden. Wanneer een gegevensbeschermer ook een andere rol vervult, zoals die van privacybeheerder BRP, leidinggevende of wanneer hij/zij verantwoordelijkheden heeft ten aanzien van informatiebeveiliging, ontstaat het risico dat het eigen advieswerk getoetst moet worden aan de regelgeving.

Benieuwd naar onze DPO/FG as a Service? Wij staan voor u klaar!

Categorie: Wetgeving