Functionaris-Gegevensbescherming-waarom-en-hoe
27.09.2017

Zet de Functionaris Gegevensbescherming binnen 4 stappen op zijn positie

Het zal u vast niet ontgaan zijn: vanaf mei 2018 treedt de Algemene verordening gegevensbescherming (AVG) in werking. Binnen deze wetgeving zijn onder andere overheidsinstanties en -organen verplicht om een Functionaris Gegevensbescherming (FG) aan te wijzen (artikel 37, AVG). Alleen wat houdt deze functie precies in? Waarom is deze rol binnen overheden en gemeenten zo belangrijk? En bovenal: hoe zorgt u ervoor dat de FG zijn weg vindt in de organisatie? Deze blog is het tweede deel van een reeks blogs die u helpen bij de implementatie van en het voorbereiden op de AVG. Lees ook hoe u in 5 stappen bewustzijn kunt creëren voor een juiste naleving van de AVG.

Dé interne toezichthouder van uw organisatie

Een Functionaris Gegevensbescherming houdt toezicht op de juiste naleving van de AVG en andere privacyregelgevingen binnen de organisatie. De FG kunnen we dan ook het het beste te omschrijven als dé interne toezichthouder van uw bedrijf. De FG heeft daarnaast een controlerende rol binnen de processen rondom: datalekken (artikel 33 en 34, AVG), privacy impact assessments (PIA) en de ontwikkeling van nieuwe IT voorzieningen (PIA en privacy by design; artikel 35, AVG)

Nieuw is de functie van de FG niet. Eerst was – onder de huidige wetgeving (Wbp) – het aanstellen van een interne toezichthouder optioneel. Met de ingang van de Europese privacyverordening wordt het aanstellen van een FG verplicht. Waarom? Door het aanstellen van een interne toezichthouder komt er meer nadruk te liggen op de toezicht en naleving van de privacyverordening (AVG). U kunt zowel een medewerker als een extern iemand deze taak toekennen.

Tip: als u geen geschikte FG kunt vinden binnen uw organisatie, kunt u ook gebruik maken van de FG as a service. Hierdoor hoeft u intern iemand niet fulltime beschikbaar te stellen om de FG-taken op zich te nemen. Daarbij bent u ook verzekerd van de onafhankelijkheid van de FG.

Welke taken dient de FG te vervullen?

Wettelijk is een gedeelte van de taken van een FG vastgelegd (artikel 39, AVG), namelijk:

  • Toezien op de naleving van de juiste implementatie van de AVG en het interne privacybeleid.
  • Vragen en klachten behandelen van zowel mensen binnen als buiten de organisatie.
  • Bewustzijn creëren onder het personeel op het gebied van de bescherming van (persoons)gegevens.
  • Het management adviseren en informeren over benodigde technologie en beveiligingen (privacy by design).
  • Het toewijzen van privacygerelateerde verantwoordelijkheden binnen de organisatie.
  • Samenwerken met en fungeren als contactpersoon voor de Autoriteit Persoonsgegevens.

Ondanks dat er overlap is tussen de taken van een CISO en FG, is er één belangrijk verschil. Waar de CISO verantwoordelijk is voor zowel de implementatie als het houden van toezicht, is de FG hoofdzakelijk verantwoordelijk voor het toezicht houden. Hierdoor kan de FG onafhankelijk haar taken uitvoeren. Er is namelijk geen sprake van belangenverstrengeling tussen de FG-taken en de uitvoerende werkzaamheden die dezelfde persoon dient uit te voeren. Hierdoor blijft de betrouwbaarheid en geloofwaardigheid van de FG gewaarborgd.

In 4 stappen een FG aanstellen binnen uw organisatie

Voor alle overheidsinstanties en -organen is een FG verplicht (artikel 37, AVG). Echter, voor sommige bedrijven geldt deze regeling niet. Hier heeft u de keuze om een FG aan te stellen. Hier kan het aanwijzen van een Privacy Officer, beleidsmedewerker privacy of een CISO al voldoende zijn. Echter, wanneer het aanstellen van een FG binnen uw organisatie wél verplicht is, zijn er een aantal stappen die u dient te volgen.

1. Bepaal welke taken de FG binnen uw organisatie gaat vervullen

Bepaal welke taken de FG binnen uw organisatie precies gaat vervullen. Zijn dit alleen de taken die wettelijk verplicht zijn of breidt u het takenpakket uit met aanvullende werkzaamheden? Uiteindelijk dient u alle taken die de FG op zich gaat nemen, vast te leggen in het privacybeleid.

2. Stel middelen beschikbaar voor de invulling van de rol

Het opstellen van alleen een plan is niet voldoende. U, als organisatie, moet ook voldoende middelen beschikbaar stellen, zodat de FG zijn rol zo goed mogelijk kan vervullen (artikel 38, AVG). De benodigdheden van een FG betreffen onder andere:

  • voldoende tijd om de werkzaamheden uit te kunnen voeren;
  • een eigen budget;
  • mandaat en middelen om een eigen onderzoek uit te (laten) voeren.

3. Meld uw FG aan bij de Autoriteit Persoonsgegevens

Wanneer u bovengenoemde stappen uitgevoerd hebt, is het tijd om uw kersverse FG aan te melden bij de Autoriteit Persoonsgegevens. Vanaf dat moment fungeert de FG namelijk als hét aanspreekpunt voor de Autoriteit Persoonsgegevens.

4. Laat de rest van de wereld het ook weten dat u een FG heeft aangesteld

Gefeliciteerd. Het is officieel: u heeft een FG aangesteld binnen uw organisatie. Nu moeten alle mensen binnen en buiten de organisatie dit ook nog weten. Maak daarom een inventarisatie van alle plaatsen waar de naam en/of functie van de FG benoemd moet worden. Denk bijvoorbeeld aan: (uw) website(s), klachtenprocedures, intranet, processen en procedures.

Handboek Privacy en FG as a service: dé versnellers voor de implementatie van de AVG

Het juist naleven van de AVG wetgeving vraagt niet alleen veel van uw organisatie, maar ook van uw FG. Simpel en snel is het naleven van deze wetgeving bij lange na niet. Daarbij komt mei 2018 steeds dichterbij, waardoor er haast bij is om zaken goed te regelen.

Om u op weg te helpen bij het naleven van de AVG heeft SafeHarbour een Privacy Management Systeem ontwikkeld, ook wel het Handboek Privacy genoemd. Met deze oplossing heeft u dé versneller in handen voor de implementatie van de AVG. Dit praktisch instrument bevat een uniek en integraal privacybeheersysteem voor uw FG en CISO. Mocht u binnen de organisatie niemand kunnen vinden die dit beheerinstrument kan en wil hanteren, dan bieden we ook nog de FG as a service aan. Benieuwd welke voordelen het Handboek Privacy en een FG as a service uw organisatie kunnen bieden? Neem dan contact met ons op voor de mogelijkheden!

Categorie: Wetgeving

Nieuwsbrief

Up-to-date zijn is het begin
van informatiebeveiliging

Timeline voor gemeenten in 2018

Timeline-ENSIA-2018Geen deadline missen dit jaar? Download alle deadlines voor gemeenten in 2018

Download nu »