FG-as-a-Service = DPO-as-a-Service
Functionaris Gegevensbescherming (FG)
De Functionaris voor Gegevensbescherming, ook wel Data Protection Officer (DPO) genoemd, is de persoon die binnen een organisatie toezicht houdt op de toepassing en naleving van de privacyregelgeving.
Hieronder vallen in elk geval de volgende taken:
- de organisatie, ingeschakelde derden en de werknemers informeren en adviseren over hun verplichtingen onder de AVG (en andere privacyregelgeving)
- toezien op naleving van de AVG en van het privacybeleid van de organisatie, inclusief bewustmaking en training van personeel
- samenwerken met de toezichthouder, de Autoriteit Persoonsgegevens (AP), en optreden als contactpersoon voor de AP
Profiel van de FG of DPO
"De functionaris voor gegevensbescherming wordt aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen de in artikel 39 bedoelde taken te vervullen."
Mede gelet op de eerdergenoemde taken wordt duidelijk dat de functie-eisen voor een FG niet gering zijn. Er bestaat (nog) geen diploma waarmee iemand kan aantonen over de gevraagde kwalificaties te beschikken.
De certificeringen van de
International Association of Privacy Professionals (IAPP CIPP/E en IAPP CIPM) worden algemeen erkend en vaak gezien als blijk van de vereiste deskundigheid.
Wanneer is een FG/DPO verplicht?
In bepaalde situaties is een DPO/FG verplicht:
- voor overheidsinstanties en publieke organisaties: gemeenten, provincies, rijksoverheid, zorg- of onderwijsinstellingen enz.
- voor organisaties waarvan de kernactiviteit het op grote schaal volgen van individuen vereist: personeelsvolgsystemen, cameratoezicht
- voor organisaties die als kernactiviteit op grote schaal bijzondere categorieën persoonsgegevens verwerken. Denk aan ziekenhuizen, die grote hoeveelheden gezondheidsgegevens verwerken.
Overwegingen voor een vrijwillige FG
Organisaties die niet verplicht zijn een FG aan te stellen, kunnen dit toch doen op vrijwillige basis. De Functionaris Gegevensbescherming is niet alleen een aanspreekpunt binnen de organisatie, maar ook voor klanten, leveranciers en de toezichthouder. Wanneer de aanstelling van een vrijwillige FG goed wordt gecommuniceerd, kan dat vertrouwen wekken en goede pr opleveren.
Voor verplichte en vrijwillige FG's gelden overigens dezelfde regels. En een vrijwillige FG moet evenals de verplichte FG bij de Autoriteit Persoonsgegevens worden aangemeld.
Wist u trouwens dat een FG ontslagbescherming geniet?
Geen FG: privacy officer of privacyjurist
Er zijn organisaties waarvoor, gezien de omvang en aard van hun werkzaamheden, een FG niet de juiste keuze is. Zij zijn misschien gebaat bij de inschakeling van een privacy officer of privacyjurist.
Deze functioneert niet als een wettelijke toezichthouder, maar kan wel ondersteuning bieden bij het opstellen van privacybeleid, het geven van advies bij (potentiële) datalekken en andere privacykwesties.
Voor alle organisaties geldt immers dat er steeds meer privacygerelateerde vragen zullen opkomen, zowel vanuit de organisatie als van daarbuiten.
Hoewel de inhoud van de functie van privacy officer kan variëren, is gedegen kennis van de AVG een vereiste. Bij grote organisaties kunnen verscheidene privacy officers werkzaam zijn, maar er is in de regel niet meer dan één FG.
Interne of externe Functionaris Gegevensbescherming?
De FG kan een eigen medewerker zijn, maar dat hoeft niet. Een externe FG is een goede keuze voor een organisatie die de benodigde kennis niet in huis heeft en die gezien aard en omvang van de werkzaamheden geen FG in dienst wil of kan nemen. Zolang het aantal uren beperkt is, is dit een economischer oplossing dan een FG in vaste dienst. Een FG, intern of extern, wordt altijd ingeschreven bij de Autoriteit Persoonsgegevens.
Voor de externe FG zijn diverse varianten denkbaar. Hij of zij kan een vast aantal uren per week in uw bedrijf aanwezig zijn of u op afstand adviseren en alleen in geval van spoed, bijvoorbeeld bij een privacyincident, bij u op locatie komen.
FG-as-a-Service
Wij kunnen u met betrekking tot de aanstelling van een FG van dienst zijn en denken graag met u mee over de verschillende mogelijkheden. U kunt kleinschalig beginnen, met een FG op afstand, en bijschakelen naar een FG op locatie wanneer nodig.
Samen met u bepalen we wat de beste oplossing is: een FG, privacy officer of privacyjurist. Een
training of opleidingstraject voor interne medewerkers behoort natuurlijk ook tot de mogelijkheden.
Afhankelijk van de behoefte kan inhuur plaatsvinden van privacykennis en ondersteuning bij privacygerelateerde werkzaamheden.