Voorbereiding op de nieuwe privacywet AVG | Stap 6: Functionaris voor de gegevensbescherming

Bron: Autoriteit Persoonsgegevens

Onder de nieuwe privacywet AVG kan het zijn dat ook jouw organisaties verplicht is om een functionaris voor de gegevensverwerking (FG) aan te stellen. Lees verder om te kunnen bepalen of dit ook voor jouw organisatie geldt. Uiteraard mag je ook vrijwillig een FG aanstellen.

Het moge duidelijk zijn dat een functionaris voor de gegevensverwerking iemand is die binnen jouw organisatie toezicht houdt op de toepassing en naleving van de AVG. Op grond van artikel 37 van de AVG is een FG in drie situaties verplicht.

Overheden en publieke organisaties

Overheidsinstanties en publieke organisaties zijn - ongeacht het type gegevens die worden verwerkt - altijd verplicht om een FG aan te stellen. Overheidsinstanties en publieke organisaties zijn zijn bijvoorbeeld; de rijksoverheid, gemeenten en provincies, maar ook om bijvoorbeeld zorg- en onderwijsinstellingen. Voor rechtbanken geldt de verplichte aanstelling van een FG niet.

Observatie

Voor organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen geldt eveneens de verplichting om een FG aan te stellen. Het kan hierbij gaan om bijvoorbeeld profilering van mensen voor het maken van risico-inschattingen, cameratoezicht en monitoring van iemands gezondheid via wearables.

Relevant hierbij zijn onder meer het aantal mensen dat een organisatie volgt, de hoeveelheid gegevens die deze organisatie verwerkt en hoe lang de organisatie mensen volgt. 

Bijzondere persoonsgegevens

Organisaties die als kernactiviteit hebben het op grote schaal bijzondere persoonsgegevens verwerken zijn eveneens verplicht een FG te benoemen. Zoals al eerder besproken zijn bijzondere persoonsgegevens  bijvoorbeeld gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden.

Andere situaties

EU-lidstaten kunnen ook andere situaties benoemen waarin een FG verplicht is. Het is nog niet bekend of dit in Nederland gaat gebeuren. Wanneer onduidelijk is of je verplicht bent om een functionaris voor de gegevensverwerking aan te stellen, moet je goed kunnen onderbouwen waarom je ervoor gekozen hebt om dat wel of niet te doen.

Richtlijnen FG

De Europese privacytoezichthouders hebben in april 2017 de (definitieve) Guidelines on Data Protection Officers gepubliceerd die meer uitleg geven over de FG. Er is ook een officiële Nederlandse vertaling van de guidelines FG beschikbaar.