AVG deel VII: Functionaris voor de gegevensbescherming

9 april 2018Informatiemaatschappij

Vanaf 25 mei dient elke organisatie die persoonsgegevens verwerkt zich te houden aan de nieuwe Europese Algemene Verordening Gegevensbescherming (AVG). In deze speciale edities van de Europese Ster lichten we de belangrijkste wijzigingen voor decentrale overheden nog eens toe. Met nog anderhalve maand te gaan tot de regels van de AVG van toepassing worden, kijken we in dit zevende deel naar de rol van de Functionaris Gegevensbescherming (FG) binnen een organisatie.

Verplicht voor decentrale overheden

Kort gezegd adviseert een FG over de toepassing van de AVG en staat hij de verwerker en verwerkingsverantwoordelijke bij met het intern toezicht op de naleving van de AVG. Onder de huidige Wet bescherming persoonsgegevens (Wbp) kunnen organisaties ook al een FG aanstellen. Met ingang van de AVG wordt het echter voor verschillende organisaties, waaronder overheidsorganisaties, verplicht om een Functionaris Gegevensbescherming aan te wijzen. Deze verplichting uit artikel 37 AVG geldt niet voor gerechten of onafhankelijke rechterlijke autoriteiten. Decentrale overheden moeten per 25 mei 2018 dus een FG hebben. Wanneer dit niet het geval is kan de Autoriteit Persoonsgegevens (AP) de overheidsorganisatie een boete van maximaal 10 miljoen euro opleggen op grond van artikel 83 lid 4.

De nationale toezichthouders, verenigd in de Artikel 29-werkgroep, hebben richtlijnen opgesteld over de Functionaris Gegevensbescherming. Daarin verduidelijken zij dat de verplichting voor overheidsorganisaties om een FG aan te nemen voortvloeit uit het feit dat betrokkenen in zulke gevallen weinig of geen keuze hebben betreffende de verwerking van hun persoonsgegevens en de manier waarop dit gedaan wordt. In de richtlijnen gaan de toezichthouders ook in op de vraag wat precies een overheidsorgaan is. Zij geven aan dat hierbij gekeken kan worden naar wat een publiekrechtelijke instantie is volgens de nationale wetgeving.

Wie moet de FG aanstellen?

De verwerkingsverantwoordelijke of verwerker moet een FG aannemen. Dit staat in artikel 37 AVG. Meer informatie over de verwerkingsverantwoordelijke en de verwerker staat op de website van Europa decentraal. In de praktijk kan het voorkomen dat verschillende organen in een organisatie een FG moeten aannemen. Daarom is het mogelijk om voor verschillende organisaties en bedrijfsonderdelen een gezamenlijke FG aan te nemen. Dit kan bijvoorbeeld ook een goede optie zijn voor verschillende kleine gemeenten. Wanneer er gekozen wordt een gezamenlijke FG aan te wijzen, moet er wel voor gezorgd worden dat deze FG zijn taken nog wel goed kan uitvoeren voor alle betrokken organisaties of organisatie-onderdelen. De FG moet bijvoorbeeld eenvoudig te bereiken zijn voor zowel de verwerker en verwerkingsverantwoordelijke, de interne medewerkers, betrokkenen en de AP.

Verder moet de FG benoemd worden op grond van zijn professionele kwaliteiten en deskundigheid op het gebied van de wetgeving en de praktijk. Daarbij moet goed nagedacht worden over de capaciteiten van de kandidaat om de taken van de FG uit te kunnen voeren. Wat daarvoor benodigd is hangt ook af van de organisatie en de verwerkingen die daar worden uitgevoerd. De FG kan een personeelslid zijn van de verwerker of verwerkingsverantwoordelijke, maar dit hoeft niet.

Wat zijn de taken van een FG?

Hoewel de FG een (interne) toezichthouder is, zijn de bevoegdheden van de FG niet te vergelijken met die van de Autoriteit Persoonsgegevens (AP). De FG moet gezien worden als een schakel tussen de decentrale overheid en de AP. De AVG of de Uitvoeringswet AVG leggen de FG geen formele bevoegdheden op, blijkt uit de Memorie van Toelichting bij de Nederlandse Uitvoeringswet AVG. Artikel 39 van de AVG schrijft wel enkele taken voor die de FG minimaal moet uitvoeren:

  • Het informeren en adviseren over de verplichtingen die de verwerkingsverantwoordelijke of verwerker van persoonsgegevens heeft voortvloeiende uit de AVG, andere EU wet- en regelgeving en nationale bepalingen omtrent gegevensbescherming;
  • Het toezien op de naleving van de AVG, andere EU wet- en regelgeving en nationale bepalingen omtrent gegevensbescherming;
  • Het toewijzen van verantwoordelijkheden, bewustmaking en opleiding van het personeel van de organisatie die persoonsgegevens verwerkt;
  • Het geven van advies met betrekking tot een gegevensbeschermingseffectbeoordeling (DPIA);
  • Het samenwerken met en als contactpunt optreden voor de Autoriteit Persoonsgegevens.

De bewoording van artikel 39 AVG houdt in dat de FG ook andere taken zou kunnen uitvoeren. Daarbij moet wel zorg gedragen worden dat deze taken of plichten niet tot een belangenconflict leiden. Op de website van Europa decentraal staat een tabel waarin de taken van de FG die voortvloeien uit de Wbp vergeleken worden met de taken van de FG uit de AVG. Hieruit kan men dus afleiden wat voor taken er voor de FG bij zijn gekomen met de komst van de AVG.

Ondersteuning FG

De Functionaris voor Gegevensbescherming moet betrokken worden bij ‘alle aangelegenheden die verband houden met de bescherming van persoonsgegevens’, aldus artikel 38 AVG. Daarnaast moet de decentrale overheid ervoor zorgen dat de functionaris ondersteund wordt bij de uitvoering van de taken die hem zijn toebedeeld. Deze ondersteuning kan verschillende vormen aannemen. De FG moet bijvoorbeeld toegang hebben tot de persoonsgegevens en verwerkingsactiviteiten. Ook kan gedacht worden aan het verstrekken van kantoorruimte, personeel en materiaal. De richtlijnen van de Artikel 29-werkgroep benadrukken daarbij ook dat hoe complexer en gevoeliger de verwerkingen zijn binnen de organisatie, hoe meer middelen de FG waarschijnlijk tot zijn beschikking dient te hebben. In artikel 38 lid 2 staat daarnaast ook expliciet opgenomen dat de verwerker en de verwerkingsverantwoordelijke de FG in staat moeten stellen zijn deskundigheid in stand te kunnen houden.

Onafhankelijkheid FG

Een FG dient zijn werkzaamheden onafhankelijk uit te kunnen voeren. De AVG bevat dan ook een aantal waarborgen om deze onafhankelijkheid te garanderen. Zo mag de organisatie die de FG aanstelt de functionaris geen instructies geven over de uitvoering van zijn taken. Zoals hierboven al werd aangegeven zou een FG ook andere taken en plichten kunnen vervullen binnen de organisatie, omdat de AVG niet stelt dat de positie van FG een voltijdfunctie zou moeten zijn. In zo’n geval is het belangrijk dat de FG-taken niet verstrengeld raken met de andere taken van deze persoon. Een voorbeeld hiervan is dat de FG bijvoorbeeld niet ook mag beslissen over het doel en de middelen van een verwerking van persoonsgegevens.

Ook is de FG in overeenstemming met EU- en nationaal recht verplicht tot geheimhouding en vertrouwelijkheid. Dit heeft bijvoorbeeld betrekking op het contact dat betrokkenen met de FG hebben over hun rechten onder de AVG, maar is ook belangrijk wanneer de FG samenwerkt met de AP.

Indien de FG rapporteert over taken gebeurt dit rechtstreeks aan het management van de organisatie. De FG mag niet ontslagen of gesanctioneerd worden als gevolg van de uitoefening van zijn taken volgend uit de AVG. Een FG is ook niet persoonlijk verantwoordelijk als de AVG niet nageleefd wordt. Dit blijft de verantwoordelijkheid van de verwerkingsverantwoordelijke of de verwerker.

 (Opnieuw) aanmelden FG bij de AP

Net als onder de Wbp moeten organisaties onder de AVG hun Functionaris Gegevensbescherming aanmelden bij de AP. Onlangs maakte de Autoriteit Persoonsgegevens bekend dat dit via een online formulier gedaan kan worden. Belangrijk is dat alle decentrale overheden hun FG moeten aanmelden bij de AP, ook als ze hun FG onder de Wbp al hadden aangemeld. Deze aanmelding dient opnieuw te gebeuren, omdat de AVG een aantal andere eisen stelt aan de aanmelding van een FG. De AP vraagt nu bijvoorbeeld of er sprake is van een vrijwillige of verplichte FG. Het nieuwe aanmeldingsformulier is hier te vinden.

Wanneer deze nieuwe aanmelding van de FG niet gedaan wordt, zal de eerdere aanmelding vervallen wanneer de AVG op 25 mei 2018 van toepassing wordt. Dit kan dan inhouden dat de AP de eerder genoemde boete voor overtreding van de AVG kan neerleggen. Zoals al eerder aangegeven in dit nieuwsbericht van Binnenlands Bestuur is het in dienst hebben van een FG een van de eerste acties waar de AP op zal gaan controleren na 25 mei 2018.

Lees meer

Dit artikel is onderdeel van onze AVG-special. Lees ook deel Ideel IIdeel III, deel IV, deel V en deel VI en schrijf u in voor onze nieuwsbrief voor de volgende AVG-special op 30 april 2018. Werkt u voor een decentrale overheid of het Rijk en hebt u een vraag over dit onderwerp? Neem dan contact op met de helpdesk van Europa decentraal.

Door:

Matthijs Binnema en Juliëtte Fredriksz, Europa decentraal

Bron:

Functionaris voor gegevensbescherming, Europa decentraal

Meer informatie:

Algemene verordening gegevensbescherming, Europa decentraal
Taken Functionaris voor Gegevensbescherming, tabel Europa decentraal
Toezicht en sancties, Europa decentraal
Functionaris voor gegevensbescherming, Autoriteit Persoonsgegevens
Organisaties moeten FG online aanmelden, nieuwsbericht Autoriteit Persoonsgegevens
Aanmeldingsformulier functionaris voor de gegevensbescherming (FG), Autoriteit Persoonsgegevens
Richtsnoeren Functionaris voor gegevensbescherming, Artikel 29-Werkgroep
Toezichthouder pakt gemeenten zonder FG aan, nieuwsbericht Binnenlands

X