Wanneer stel je een functionaris gegevensbescherming (FG) aan?

autoriteit, gegevensbescherming

Organisaties zijn in bepaalde situaties verplicht een functionaris gegevensbescherming (FG) aan te stellen. Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de Algemene verordening gegevensbescherming (AVG).

Op grond van artikel 37 van de AVG is een FG in drie situaties verplicht:

Overheden en publieke organisaties

Ten eerste zijn overheidsinstanties en publieke organisaties altijd verplicht om een FG aan te stellen, ongeacht het type gegevens dat ze verwerken. Het kan gaan om de rijksoverheid, gemeenten en provincies, maar ook om bijvoorbeeld zorg- en onderwijsinstellingen. Voor rechtbanken geldt de verplichte aanstelling van een FG niet.

Observatie

Ten tweede geldt de verplichting om een FG aan te stellen voor organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen of diens activiteiten in kaart brengen. Het kan hierbij gaan om bijvoorbeeld profilering van mensen voor het maken van risico-inschattingen, cameratoezicht, personeelsvolgsystemen en monitoring van iemands gezondheid via wearables.

Relevant hierbij zijn onder meer het aantal mensen dat een organisatie volgt, de hoeveelheid gegevens die deze organisatie verwerkt en hoe lang de organisatie mensen volgt. 

Bijzondere persoonsgegevens

Ten derde zijn organisaties verplicht een FG te benoemen als ze op grote schaal bijzondere persoonsgegevens verwerken en dit een kernactiviteit is. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid, ras, politieke opvatting of geloofsovertuiging.

Andere situaties

De verplichting geldt ook wanneer een organisatie strafrechtelijke persoonsgegevens verwerkt. Daarnaast kunnen EU-lidstaten andere situaties benoemen waarin een FG verplicht is. Het is nog niet bekend of dit in Nederland gaat gebeuren. Wanneer onduidelijk is of u verplicht bent om een FG aan te stellen, moet u goed kunnen onderbouwen waarom u ervoor gekozen heeft om dat wel of niet te doen.

FG aanmelden

Organisaties moeten hun FG aanmelden bij de AP. Aanmelden kan via het Aanmeldingsformulier functionaris gegevensbescherming (FG). Let op: alle FG-aanmeldingen die niet met dit webformulier zijn gedaan, zijn per 25 mei 2018 vervallen. Op het aanmelden van de FG is het Privacystatement FG-register van toepassing.

Guidelines FG

De Europese privacytoezichthouders hebben in april 2017 de (definitieve) Guidelines on Data Protection Officers gepubliceerd die meer uitleg geven over de FG. Er is ook een officiële Nederlandse vertaling van de guidelines FG beschikbaar.

Voorlichting door de AP

De AP heeft speciale FG-contactkanalen waar u als aangemelde FG uw vraag over de privacyregels kunt stellen.

Bron: autoriteitpersoonsgegevens.nl

#communityAim2Secure

#Aim2RisicoBeheersing

Hirschel HesselAim2secureMrt2020, wet-en-regelgeving, management, HRMOpmerking plaatsen