Slagvaardig

En weer een verhaal over de Algemene Verordening Gegevensbescherming (AVG). In de eerste bijdragen werd duidelijk wat persoonsgegevens zijn, hoe iemand toestemming kan geven en welke rechten deze betrokkene heeft. Nieuwe regels, nieuwe functies. Zo kan het gaan. Met deze nieuwe wetgeving wordt er een nieuwe functie/baan gecreëerd; de functionaris voor gegevensbescherming. FG afgekort. In het Engels klinkt het nog mooier, de Data Protection Officer. De DPO. Weer eens wat anders dan een CFO of een CEO. Wanneer ben je als organisatie verplicht een FG / DPO aan te nemen? En wat houdt die functie precies in? 

Verplicht voor overheid, beveiligingsbedrijf, kerk en u?
In de AVG staat dat de volgende verwerkingsverantwoordelijken en verwerkers verplicht zijn om een functionaris voor gegevensbescherming te hebben:

• overheidsinstanties en overheidsorganen
• bedrijven die hoofdzakelijk belast zijn met regelmatige en stelselmatige grootschalige observatie van personen
• bedrijven die hoofdzakelijk belast zijn met grootschalige verwerking van bijzondere persoonsgegevens. Denk aan gegevens over gezondheid, ras of geloofsovertuiging.

Wat doet de FG heel de dag?
Je moet natuurlijk wel werk hebben voor de FG. Wat moet je deze persoon nu voor werk laten doen? De AVG helpt een handje door een minimum takenpakket te omschrijven. Tot de functie behoren in ieder geval deze taken:

• het informeren en adviseren van je baas over de verplichtingen uit de AVG
• het toezien op de naleving van de verplichtingen uit de AVG. Denk aan bewustwording en opleiding van mensen
• Samenwerken met de Autoriteit Persoonsgegevens

Persoonlijk aansprakelijk?
Dat zijn best verantwoordelijke taken. We weten ook dat er hoge boetes kunnen worden opgelegd aan bedrijven die hun zaakjes rondom de bescherming van persoonsgegevens niet op orde hebben. Legt dat dan niet een te zware druk op de FG? Nee. Hij is niet persoonlijk aansprakelijk op het moment dat het bedrijf een verplichting niet nakomt. Het bedrijf zelf is en blijft verantwoordelijk.
 
Geen FG, wat dan?
Als je kijkt naar de bedrijven die verplicht een functionaris voor gegevensbescherming moeten hebben dan blijkt duidelijk dat er ook veel bedrijven zijn die niet onder die verplichting vallen. Wat doe je dan? Want de verplichtingen uit de AVG gelden wel voor alle bedrijven. Het kan daarom altijd handig zijn om één iemand binnen de organisatie aan te wijzen die verantwoordelijk wordt voor de privacy. Dat is minder formeel dan een FG. Maar je laat daarmee wel zien dat je dit thema serieus neemt en dat er iemand binnen het bedrijf is die er meer van af weet dan de gemiddelde werknemer in het bedrijf.

De volledige wettekst van de AVG kunt u hier lezen. Met name in de artikelen 37 tot en met 39 gaat het over de functionaris voor gegevensbescherming.