null

Ook een privacyfunctionaris voor u?

Op 25 mei 2018 zal de Algemene Verordening Gegevensbescherming (AVG) in werking treden. De AVG is een Europese verordening die rechtstreekse werking zal hebben, hetgeen betekent dat iedereen zich rechtstreeks op de AVG kan beroepen. Deze verordening zal de Wet Bescherming Persoonsgegevens zoals die op dit moment in Nederland geldt, vervangen.

Alle organisaties (bedrijven, instellingen en overheden) zullen te maken krijgen met deze verordening. Zij worden geconfronteerd met vergaande verplichtingen over de wijze waarop persoonsgegevens mogen worden verwerkt en hoe de privacy van de betrokken personen optimaal moet worden gewaarborgd. Onder de nieuwe verordening zal goed gedocumenteerd moeten kunnen worden aangetoond dat een organisatie de regels van de AVG op juiste wijze heeft geïmplementeerd en toepast. Overtreding van de AVG kan leiden tot oplegging van hoge boetes door de Autoriteit Persoonsgegevens.

Functionaris voor de Gegevensbescherming

Het waarborgen van privacy en de verwerking van persoonsgegevens moeten onder de AVG worden beschouwd als serieuze afzonderlijke taak/opdracht binnen organisaties. Het is mede om die reden dat de AVG hiervoor een belangrijke rol toebedeelt aan een privacyfunctionaris, de Functionaris voor de Gegevensbescherming (FG). De FG is iemand die binnen een organisatie toezicht houdt op de toepassing en naleving van de AVG. Een FG is in drie situaties verplicht:

  1. Binnen overheden en publieke organisaties.
  2. Bij organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen. Het kan hier bijvoorbeeld gaan om profilering van mensen voor het maken van risico inschattingen en monitoring van iemands gezondheid.
  3. Binnen organisaties die op grote schaal bijzondere persoonsgegevens verwerken en waarvoor dit een kernactiviteit is. Te denken valt aan zorginstellingen die veel medische gegevens van patiënten/cliënten verwerken.

Ook voor bedrijven en instellingen die hiertoe niet verplicht zijn, kan het grote meerwaarde hebben om een FG in te schakelen. Een FG is de spin in het web voor een goed data privacybeleid binnen organisaties. Ook organisaties die niet verplicht zijn een FG in te stellen zullen namelijk moeten voldoen aan verplichtingen op basis van de AVG. Uit het oogpunt van compliance zal een FG binnen veel organisaties dan ook meerwaarde kunnen bieden.

Nieuwe versie richtlijn

Op 5 april 2017 heeft de Artikel 29 Werkgroep (WP29) een nieuwe versie van de richtlijn voor (de benoeming van) functionarissen voor de gegevensbescherming uitgegeven. De WP29 is een werkgroep waarin de Europese privacyfunctionarissen samenwerken voor een goed Europees privacybeleid. In de nieuwe versie van de richtlijn staan belangrijke veranderingen ten opzichte van de eerste versie, die dateert uit december 2016. Enkele aanvullingen zijn:

  1. Een FG zal moeten toezien op alle verwerkingen van persoonsgegevens in een organisatie. Het is dus niet de bedoeling dat de FG zich enkel richt op een onderdeel van het verwerken van persoonsgegevens, bijvoorbeeld alleen HR-gerelateerde persoonsgegevens.
  2. Een FG wordt door de organisatie benoemd, maar mag wel worden ondersteund door een team. De FG zal er echter wel voor moeten zorgen dat hij en zijn team onafhankelijk kunnen opereren binnen de organisatie.
  3. De FG moet in de Europese Unie zijn gevestigd. Enkel als de FG zijn taken efficiënter kan uitvoeren indien hij buiten de Europese Unie is gevestigd, is dat toegestaan. Te denken valt aan een multinational met vestigingen in Europa, op basis waarvan de AVG van toepassing is, maar met een hoofdkantoor buiten de Europese Unie waar de FG dan gevestigd is.
  4. Een FG hoeft geen eigen werknemer te zijn en mag dus ook een externe functionaris zijn. Organisaties kunnen overeenkomsten sluiten met een externe FG voor de bewuste dienstverlening. Een jurist of advocaat zou deze rol kunnen vervullen. Ook hier zal belangenverstrengeling moeten worden voorkomen en moet onafhankelijkheid bij de advisering door de FG zijn gewaarborgd.
  5. De FG zorgt voor het noodzakelijke contact en overleg met de (nationale) toezichthouder. De AVG stimuleert de FG om, indien noodzakelijk, advies te vragen en overleg te hebben met de toezichthouder. De FG dient zich hierbij bewust te zijn van de bijzondere positie binnen de organisatie, waarbij hij enerzijds een adequaat privacybeleid dient te verzorgen en uit te dragen en anderzijds de belangen van de organisatie in acht dient te nemen.

Naar mijn stellige overtuiging zal een FG voor veel organisaties, ook als zij hiertoe niet verplicht zijn, zeer wenselijk, zo niet noodzakelijk zijn om goed te kunnen voldoen aan de vereisten die de AVG stelt. Of dat ook voor uw organisatie geldt en wat de taken van de FG dan zouden moeten zijn, bespreek ik graag met u.