Functionaris voor Gegevensbescherming

Artikel 37 AVG stelt dat overheidsinstanties en overheidsorganen verplicht een functionaris voor gegevensbescherming moeten aanwijzen. Maar wat is een functionaris voor gegevensbescherming nu precies?

Verplichte FG

Overheidsinstanties en overheidsorganen moeten verplicht een functionaris voor gegevensbescherming aanwijzen ingevolge artikel 37 AVG. Echter, verschillende overheidsinstanties kunnen wel samen één functionaris voor gegevensbescherming aanwijzen. Verder mag de functionaris voor gegevensbescherming gewoon een eigen personeelslid van de organisatie zijn, maar de functie kan ook ingevuld worden op grond van een dienstverleningscontract met iemand van buiten de organisatie.

Toegang persoonsgegevens

De functionaris voor gegevensbescherming moet toegang gegeven worden tot alle persoonsgegevens die in de organisatie in omloop zijn en de diverse verwerkingsactiviteiten die daarmee gepaard gaan. Daarnaast moet uw organisatie ervoor zorgen dat de functionaris ondersteund wordt bij de uitvoering van de taken die hem zijn toebedeeld volgens de AVG. Deze ondersteuning kan hoogstwaarschijnlijk verschillende vormen aannemen. U kunt hierbij denken aan het verstrekken van kantoorruimte, personeel, materiaal enzovoort.

Taken FG

De functionaris voor gegevensbescherming moet betrokken worden bij ‘alle aangelegenheden die verband houden met de bescherming van persoonsgegevens’, aldus art. 38 AVG. De functionaris moet benoemd worden op grond van zijn professionele kwaliteiten, deskundigheid op het gebied van de wetgeving en de praktijk. De AVG stelt in art. 39 dat een functionaris voor gegevensbescherming ten minste de volgende taken moet uitvoeren:

  • Het informeren en adviseren over de verplichtingen die de verwerkingsverantwoordelijke of verwerker van persoonsgegevens heeft voortvloeiende uit de AVG, andere EU wet- en regelgeving en nationale bepalingen omtrent gegevensbescherming;
  • Het toezien op de naleving van de AVG, andere EU wet- en regelgeving en nationale bepalingen omtrent gegevensbescherming;
  • Het toewijzen van verantwoordelijkheden, bewustmaking en opleiding van het personeel van de organisatie die persoonsgegevens verwerkt;
  • Het geven van advies met betrekking tot een gegevensbeschermingseffectbeoordeling;
  • Het samenwerken met en als contactpunt optreden voor de autoriteit persoonsgegevens.

Onafhankelijkheid

De functionaris voor gegevensbescherming moet onder andere bovenstaande taken onafhankelijk uit kunnen voeren. Dit betekent dat hij geen instructies mag krijgen over de uitvoering van de taken. Natuurlijk moet de functionaris voor gegevensbescherming ook rapporteren over zijn taken. Dit doet hij rechtstreeks aan het management van de organisatie. Daarnaast is de functionaris in overeenstemming met EU en nationaal recht tot geheimhouding of vertrouwelijkheid verplicht.

Nieuws

Functionaris voor Gegevensbescherming

Datalekken, privacy en Functionaris voor Gegevensbescherming op de Werken met Europa borrel

Op donderdag 30 maart vond de Werken met Europa borrel plaats bij Europa decentraal. Dit netwerkevent stond in het teken van de Algemene verordening gegevensbescherming (AVG), waaraan decentrale overheden zich vanaf 25 mei 2018 moeten houden. Voorbereidingen moeten nu al getroffen worden om straks aan de voorwaarden uit de verordening te voldoen.

Lees het volledige bericht

Vier punten waar u aan moet denken bij het toepassen van de AVG

Op 25 mei 2018 moeten alle decentrale overheden voldoen aan de verplichtingen uit de Algemene verordening gegevensbescherming (AVG). Dit houdt in dat overheden bij het verwerken van persoonsgegevens de AVG in acht moeten nemen. Om hier goed op voorbereid te zijn, hebben wij vier cruciale punten voor u op een rij gezet waar u in 2018 aan moet voldoen.
Lees het volledige bericht

Nieuwe EU-privacyregels: geen ver-van-mijn-bed-show

Het lijkt misschien nog een ver-van-uw-bed-show, maar vanaf 25 mei 2018 moeten naast bedrijven ook gemeenten, provincies en waterschappen zich aan de nieuwe Europese regels omtrent privacy houden. Kortom: wanneer persoonsgegevens verwerkt worden, moeten de bepalingen uit de Algemene verordening gegevensbescherming (AVG) toegepast worden. Iedere gemeente, provincie of waterschap verwerkt namelijk persoonsgegevens. Gemeenten hebben bijvoorbeeld de wettelijke verplichting om de Basisregistratie Personen (BPR) te beheren. Maar ook bij het afgeven van vergunningen worden persoonsgegevens verzameld.

Lees het volledige bericht

Reactietermijn richtlijnen interpretatie AVG verlengd

Per 25 mei 2018 moet de Algemene verordening gegevensbescherming toegepast worden. De Wet bescherming persoonsgegevens zal dan komen te vervallen. Er is vanaf dan één verordening geldig in de gehele EU.  Naar aanleiding van deze Verordening schreef de Artikel 29-werkgroep (WP29) van de Europese Commissie een drietal richtlijnen waar tot 15 februari 2017 op gereageerd kan worden. De richtlijnen geven al meer duidelijkheid met betrekking tot de interpretatie van diverse begrippen uit de AVG.

Lees het volledige bericht

Algemene verordening gegevensbescherming treedt in werking op 25 mei 2016

De Algemene verordening gegevensbescherming (AVG) zal op 25 mei 2016 in werking treden. Dit betekent dat decentrale overheden tot 25 mei 2018 hebben om aan de regels uit de AVG te voldoen. U kunt hierbij denken aan het verplicht aanstellen van een Functionaris voor Gegevensbescherming, het uitvoeren van een gegevensbeschermingseffectbeoordeling of uitvoering geven aan de rechten van de betrokkenen. Lees het volledige bericht

Raad van State doet uitspraak in zaak omtrent bescherming persoonsgegevens

Persoonsgegevens moeten goed beschermd worden. Deze bescherming van persoonsgegevens was dan ook onderwerp van een uitspraak van de Raad van State (RvS) van 26 april 2016. De RvS oordeelt echter dat het bezwaar tegen een brief van de gemeente over het koppelen van een afvalpas aan het adres van bewoners niet-ontvankelijk moet worden verklaard. Een actueel onderwerp, omdat onlangs de definitieve versie van de Europese Algemene verordening gegevensbescherming (AVG) is goedgekeurd.

Lees het volledige bericht

Akkoord hervorming EU-gegevensbescherming Commissie

De Europese Commissie, het Europees Parlement en de Raad hebben een finaal akkoord bereikt over de hervorming van de Europese Verordening gegevensbescherming. Nadat de Europese Commissie in 2002 een hervorming van de wetgeving omtrent EU-gegevensbescherming heeft voorgesteld, zijn de drie Europese instellingen op 15 december tot een definitieve versie gekomen. Met deze hervorming wordt de huidige regelgeving over privacy grondig herzien. De verordening heeft na inwerkingtreding en zal ook consequenties voor provincies, gemeenten en waterschappen hebben.
Lees het volledige bericht

Praktijkvragen

Functionaris voor Gegevensbescherming

Wat betekenen de nieuwe privacyregels voor onze gemeente?

We hebben gehoord dat zowel het Europees Parlement als de Raad voor Ministers de nieuwe Europese regels omtrent privacy hebben goedgekeurd. Wat betekent dit voor onze gemeente? Per wanneer moet onze gemeente voldoen aan deze regels? Moeten wij daarnaast als gemeente ook een aparte Functionaris voor Gegevensbescherming in dienst nemen?

Bekijk het antwoord

Wet- en regelgeving

Functionaris voor Gegevensbescherming

Functionaris voor Gegevensbescherming

De Algemene Verordening Gegevensbescherming stelt in artikel 37 en 38 AVG dat een Functionaris voor Gegevensbescherming aangesteld moet worden en wat zijn taken zijn. Daarnaast wordt de Functionaris voor Gegevensbescherming nog in diverse andere artikelen genoemd. Hieronder kunt u hier een overzicht van vinden. Ook het verschil tussen de inrichting van de functie Functionaris voor Gegevensbescherming in de Wbp en de AVG worden schematisch weergegeven.

FG in de AVG 

  • De contactgegevens van een FG moeten genoemd worden, wanneer persoonsgegevens bij een betrokkene worden verzameld (art. 13 lid 1 (b)).
  • De contactgegevens van een FG moeten genoemd worden, wanneer persoonsgegevens niet bij een betrokkene worden verzameld (art. 14 lid 1 (b)).
  • De naam en de contactgegevens van de FG moeten in het register van de verwerkingsactiviteiten genoteerd worden (art. 30).
  • Bij een inbreuk in verband met persoonsgegevens deelt de verwerkingsverantwoordelijke de naam en contactgegevens van de FG mee aan de AP (art. 33).
  • Wanneer een PIA uitgevoerd wordt, wint de verwerkingsverantwoordelijke een advies van de FG in (art. 35).
  • Wanneer de verwerkingsverantwoordelijke de AP voorafgaand raadpleegt over een verwerking met hoog risico, verstrekt hij ook informatie over de naam en contactgegevens van de FG. (art. 36).
  • De verwerkingsverantwoordelijke wijst een FG aan (art. 37 lid 1)
    • FG wordt aangewezen op basis van professionele kwaliteiten en deskundigheid op het gebied van de wetgeving en praktijk inzake gegevensbescherming en zijn vermogen de in art. 39 taken te vervullen (art. 37 lid 5)
    • FG kan personeelslid zijn, of op grond van dienstverleningsovereenkomst verrichten. (art. 37 lid 6)
    • Verwerkingsverantwoordelijke of verwerker maakt de contactgegevens van FG bekend en deelt deze mee aan AP (art. 37 lid 7)
  • De taken en positie van FG worden in art. 38 en 39 opgesomd. Op deze pagina kunt u daar meer informatie over vinden.
  • De taken van de FG (overeenkomst art. 38 en 39) moeten in de bindende bedrijfsvoorschriften worden vastgelegd (art. 47 lid h).
  • De AP verricht haar taken (zie art. 57) kosteloos voor de FG (art. 57).

FG in AVG en Wbp

AVG (nieuw) Wbp (oud)
FG verplicht voor overheidsinstanties Ja (art. 37 lid 1 AVG) Nee (art. 62 Wbp)
Kwalificaties
  • Professionele kwaliteiten en deskundigheid op het gebied van wetgeving en praktijk inzake gegevensbescherming
  • Vermogen om taken uit te voeren
    (art. 37 lid 5 AVG)
  • Toereikende kennis voor vervulling van taak
  • Voldoende betrouwbaar
    (art. 63 Wbp)
In dienst of niet?
  • Functionaris kan personeelslid zijn,
  • of op grond van dienstverleningsovereenkomst taken verrichten
    (art. 37 lid 6 AVG)
Geen bepaling
Aanmelding FG AP
  • Verwerkingsverantwoordelijke maakt FG bekend bij AP (art. 37 lid 7 AVG)
De functionaris oefent zijn taken eerst uit nadat de verantwoordelijke of de organisatie die hem heeft benoemd, hem heeft aangemeld bij het College (art. 63 lid 3 Wbp)
Positie van FG
  • Betrekken van FG
FG wordt naar behoren en tijdig betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens

 

Geen bepaling
  • Toegang
  • FG krijgt toegang tot persoonsgegevens en verwerkingsactiviteiten (art. 38 lid 2 AVG)
  • FG krijgt benodigde middelen ter beschikking voor vervullen van taken en in stand houden deskundigheid (art 38 lid 2 AVG)
  • De verantwoordelijke stelt de functionaris in de gelegenheid zijn taak naar behoren te vervullen. De functionaris kan de kantonrechter verzoeken te bepalen dat de verantwoordelijke gevolg dient te geven aan hetgeen in de tweede volzin is bepaald. (art. 62 lid 2 Wbp)
  • De verantwoordelijke of de organisatie als bedoeld in het eerste lid draagt zorg dat de functionaris ter vervulling van zijn taak over bevoegdheden beschikt die gelijkwaardig zijn aan de bevoegdheden zoals geregeld in Titel 5.2 van de Algemene wet bestuursrecht. (art. 64 lid 3 Wbp)

 

  • Instructies van verwerker of verantwoordelijke
De verwerkingsverantwoordelijke en de verwerker zorgen ervoor dat de functionaris voor gegevensbescherming geen instructies ontvangt met betrekking tot de uitvoering van die taken (art. 38 lid 3 AVG)

 

De functionaris kan wat betreft de uitoefening van zijn functie geen aanwijzingen ontvangen van de verantwoordelijke of van de organisatie die hem heeft benoemd. (art. 63 lid 2 Wbp)
  • Geheimhouding
Verplicht tot geheimhouding of vertrouwelijkheid ingevolge nationaal of Unierecht (art. 38 lid 5 AVG) De functionaris is verplicht tot geheimhouding van hetgeen hem op grond van een klacht of een verzoek van betrokkene is bekend geworden, tenzij de betrokkene in bekendmaking toestemt. (art. 63 lid 4 Wbp)

 

  • Zorg verwerker of verantwoordelijke
Geen bepaling De verantwoordelijke of de organisatie als bedoeld in het eerste lid draagt zorg dat de functionaris ter vervulling van zijn taak over bevoegdheden beschikt die gelijkwaardig zijn aan de bevoegdheden zoals geregeld in Titel 5.2 van de Algemene wet bestuursrecht. (art. 64 lid 3 Wbp)
Taken FG
  • Informeren en adviseren over wettelijke taken
Informeren en adviseren over verplichtingen AVG en ander Unierechtelijke of nationaalrechtelijke gegevensbeschermingsbepalingen (art. 39)

 

Toezien op de verwerking van persoonsgegevens overeenkomstig het bij en krachtens de wet bepaalde. (art. 64 lid 1 Wbp)

 

  • Toezien op naleving wet
Toezien op naleving van AVG of andere Unierechtelijke of nationaalrechtelijke gegevensbeschermingsbepalingen en beleid van verwerker of verantwoordelijke  (art. 39)

 

Naleving van code als in art. 25 (art. 64 lid 2 Wbp)
  • Overig
  • Advies verstrekken en toezien op uitvoering van PIA
  • Samenwerken met AP
  • Optreden als contactpunt voor de AP
Niet in de Wbp.
X