De Functionaris Gegevensbescherming taken voor je op een rij gezet!

Steeds vaker, maar met name sinds de komst van de Algemene Verordening Gegevensbescherming (AVG) wetgeving, hoor je de term ‘Functionaris Gegevensbescherming’ (FG) voorbijkomen. Of in het Engels: “Data Protection Officer”. Maar wat is dat precies, een FG? En wat zijn de Functionaris Gegevensbescherming (FG) taken binnen een organisatie? En wanneer is een Functionaris Gegevensbescherming verplicht? In dit artikel wordt op al deze vragen uitgebreid antwoord gegeven. Na het lezen van het artikel weet je precies wat een FG doet, of zou moeten doen, binnen een organisatie. Heb je hierover (nog) andere vragen? Stel ze gerust! En overweeg je om een FG in te huren? Ook dan kunnen we je van dienst zijn middels onze dienst outsourcing. We helpen je graag op weg!

Om de vraag ‘wat is een Functionaris Gegevensbescherming (FG)’ kort en bondig te beantwoorden: de FG houdt in een organisatie toezicht op de omgang met persoonsgegevens. En ziet m.b.t de EU toe op het toepassen en naleven van de Algemene verordening gegevensbescherming (AVG, soms beter bekend als GDPR). Doorgaans heb je in een organisatie aan de ene kant de Security Officer (SO) en aan de andere kant heb je iemand die vanuit privacy-oogpunt heel veel hetzelfde wil als de Security Officer, maar in de praktijk andere taken heeft: de FG. Een FG trekt als het ware samen met de SO op en opereert in principe naast hem of haar.

Waar zit dan het verschil? Het vertrekpunt van een SO is informatiebeveiliging in de breedste zin van het woord, waar het vertrekpunt van een Functionaris Gegevensbescherming is om erop toe te zien dat met betrekking tot de omgang met persoonsgegevens de AVG-wet nageleefd wordt. In de praktijk betekent het makkelijk gezegd dat de privacy gewoon netjes geregeld is. In grotere organisaties zie je dat de rol van de FG losstaat van de rol van de IT-manager. De FG-rol is dan meer een compliance rol, toezichtrol of juristenrol. Om deze reden is het ook beter als de FG geen management of directiepositie heeft: dan is de onafhankelijke controle makkelijker. Hoe dan ook, je kunt de rol uitvoeren met minder technische kennis dan de SO of de IT-manager. Uiteraard is het wel bevorderlijk als je wel een beetje technisch onderlegd bent.

Wanneer is een Functionaris Gegevensbescherming verplicht? Om aan de AVG-wet te voldoen is een aantal organisaties verplicht om een FG aan te stellen.

Artikel 37 van de AVG wet schrijft voor dat een FG in drie situaties verplicht is:

Het volstaat om slechts één FG aan te stellen wanneer een organisatie meerdere vestigingen heeft. Houd er wel rekening mee dat een FG meer kennis en ondersteuning nodig heeft als er in een organisatie grote hoeveelheden gevoelige gegevens verwerkt worden.

Je kunt er als organisatie ook voor kiezen om vrijwillig een Functionaris Gegevensbescherming aan te stellen. Dat kan bijvoorbeeld verstandig zijn voor organisaties die overheidstaken uitvoeren, zoals bijvoorbeeld een woningcorporatie. Uiteraard kun je er als organisatie ook voor kiezen om in plaats van een FG een werknemer aan te stellen of adviseur in te huren die zich met de privacywetgeving gaat bezighouden.

De AVG-wet eist dat je als organisatie beheersmaatregelen treft om je gegevens veilig te houden. Wanneer er een SO actief is binnen de organisatie, dan heeft de Functionaris Gegevensbescherming daar voordeel bij. De SO verzorgt dan namelijk de meer technische maatregelen, waardoor de FG kan focussen op het gebruik ervan in de praktijk. Ofwel:

In deze situatie is de FG-rol dus een wat meer toezichthoudende taak. Hoe werkt dat dan in de praktijk? Iedere organisatie krijgt via behoorlijk veel kanalen gegevens binnen. Die gegevens ontvangt de organisatie van andere mensen/organisaties en vrijwel altijd komt er met die gegevens een persoonsaspect mee. In principe wil je van al die gegevens garanderen dat ze niet te lang ‘blijven liggen’, niet onnodig gebruikt of opgeslagen worden en niet onnodig veel gegevens bevatten. Het gaat er dus om dat je als organisatie enkel uitvraagt wat je echt nodig hebt: dat is de basis van privacy.

Om dat te realiseren dien je dit in goede samenspraak met die ander (de gegevensverstrekker) te doen. Als je duidelijk maakt waarom je bepaalde gegevens nodig hebt, dan zal de ander daarin met je meegaan. Wil iemand bijvoorbeeld nieuwsbrieven ontvangen van je organisatie? Dat kan, uiteraard. Je moet er als organisatie dan wel scherp op blijven dat je niet te veel met die gegevens doet en de gegevens niet langer bewaart dan nodig/afgesproken. Op dat soort zaken houdt een Functionaris Gegevensbescherming toezicht. Kortom, een Functionaris Gegevensbescherming zorgt voor een goede data-hygiëne. In de praktijk komt dat dus meer neer op (gedrag) monitoren en bijsturen, dan dat het echt een uitvoerende taak is.

Tot slot nog een opsomming van de kennis en vaardigheden van een Functionaris Gegevensbescherming:

Een Functionaris Gegevensbescherming is niet aansprakelijk bij overtredingen van de privacywet. De naleving van de privacywet is de verantwoordelijkheid van de organisatie.

De AVG-wet stelt dat je bij bepaalde omstandigheden moet beschikken over een register van verwerkingsactiviteiten; ook wel een verwerkingsregister genoemd. Heb je dat als organisatie echt nodig? Zie het zo: zodra privacy en/of informatiebeveiliging ook maar een beetje speelt binnen je organisatie, kom je al snel in aanraking met andere partijen die van jouw organisatie verlangen dat je een dergelijk register bijhoudt. Je kunt dan, als FG, allerlei redenen aanhalen waarom je geen register nodig hebt, maar in feite kun je het maar beter opstellen. Het is niet enorm complex om een verwerkingsregister op te stellen. Sterker nog, het is zelfs goed om er als organisatie eens bij stil te staan en het maakt het werk van de FG ook beter mogelijk. Er is namelijk eenduidig opgeschreven:

Wanneer je werkt met een register van verwerkingsactiviteiten, dan kun je andere mensen uit de organisatie makkelijker betrekken bij de FG-taken. Voorbeeld: Degene die verantwoordelijk is voor sales heeft gegevens over leads en klanten nodig. Het is dan makkelijk als je één keer goed uitschrijft hoe dat in zijn werk gaat, dan hoef je daarna periodiek enkel kort met elkaar te overleggen of het nog steeds zo werkt. Indien dat niet het geval is, dan dient het register aangepast te worden. Is er bijvoorbeeld een module bijgekomen? Dan check je of daar bijzondere gegevens inzitten en vervolgens noteer je dat in het register. Noteer het, voor de compleetheid, ook als dit niet het geval is. Je schrijft op waar je gegevens zitten en zorgt dat er aan de verplichtingen wordt voldaan, zodat gegevens niet ‘op de plank’ blijven liggen. Het verwerkingsregister is een superhandig instrument om op te zetten en als FG moet je dat eigenlijk gewoon willen.

In sommige gevallen kan het wel eens voorkomen dat je als FG een informatiesysteem aantreft dat niet op de kaart staat of waarin gegevens onbeveiligd staan opgeslagen. Dan ga je daar als FG vervolgens wat van vinden. In zo’n geval ga je iets verder dan enkel het op orde houden van de data-hygiëne. Daarbij wel de opmerking dat dat het vrij uitzonderlijk is dat je als FG zoiets constateert als er in een organisatie ook een (CI)SO actief is. Het zou namelijk betekenen dat er ergens wijzigingsprotocollen niet zijn gevolgd, want als dat wel het geval was zou een (onbeveiligd) systeem dat onbekend is niet onopgemerkt zijn gebleven.

Wat valt er nog meer onder de taken van de FG? Die taken zitten doorgaans vast aan het privacy beleid en privacyverklaring(en). Het meest bekende en meest bekeken beleidsstuk is de privacyverklaring op de website van een organisatie. Mensen die informatie willen over een organisatie, gaan eerst op Google zoeken en komen dan vervolgens uit op de website. Zo’n website begint vervolgens in mindere of meerdere mate gegevens op te slaan; deels functioneel en deels marketingtechnisch. Je wilt er als organisatie voor zorgen dat de grote bulk anonieme bezoekers of relaties-in-wording op voorhand weet wat jij als organisatie kunt doen met die gegevens. Om die reden plaats je een privacyverklaring op je website. Als je die eenmaal online hebt staan, dan kun je de tekst steeds verder uitbreiden.

Waarom zou je andere relaties van je organisatie namelijk niet via hetzelfde, online beschikbare, document informeren? Je kunt in je privacyverklaring, op je website, dus ook opnemen wat je met de gegevens doet van iemand die klant wordt. Je werkt vanaf dat moment voor je klant en dat is een wettelijke grondslag op basis waarvan je bepaalde gegevens van de klant op mag slaan. Welke gegevens dat zijn en hoe je daarmee omgaat kun je opnemen in dezelfde privacyverklaring. Door die verklaring zo volledig mogelijk te maken en op een centrale plek, zoals je website, te plaatsen kun je er mooi gebruik van maken als (hyper)link in contracten of in de footer van je email-handtekening ed.

Het gaat erom dat je, namens je organisatie, iedere keer zorgvuldig nagaat of datgene wat je doet met de gegevens daadwerkelijk ook mag op basis van een wettelijke grondslag. Die grondslag dien je duidelijk te maken aan je relatie. Een relatie gaat in de meeste gevallen akkoord met die informatie, omdat hij/zij de dienst graag geleverd wil krijgen. Je kunt het dan zo zien dat je als volwassenen onder elkaar een samenwerkingsafspraak aan bent gegaan die volgens de wet is toegestaan. Als organisatie moet je dan uiteraard wel binnen de kaders van wat je met elkaar hebt afgesproken opereren en niet ineens iets nieuws gaan doen wat niet in het beleid stond en/of niet gecommuniceerd is.

Geen enkele organisatie leeft op een eiland. Iedere organisatie heeft immers leveranciers nodig om te kunnen blijven draaien. Daarnaast zijn er ook een aantal partijen die je vanuit de wet verplicht bent om jaarlijks gegevens toe te sturen (zoals de Belastingdienst). Verder heeft vrijwel iedere organisatie een IT-leverancier. Gegevens die je als organisatie opslaat over personen zijn vaak toegankelijk voor die IT-leverancier. Je moet er dus zeker van zijn dat ook jouw leveranciers hun verantwoordelijkheid nemen. Om dat te kunnen garanderen maak je als FG een verwerkersovereenkomst. Dat is een contract tussen jouw organisatie en de leverancier waarin staat wat de leverancier moet doen om te garanderen dat wat jij als organisatie wilt op het gebied van informatiebeveiliging ook daadwerkelijk gebeurt. Het feit dat je een leverancier hebt en hetgeen wat die organisatie voor jou doet vermeld je in je privacybeleid.

Wanneer een opdrachtgever van je organisatie een verwerkersovereenkomst met je organisatie wil, dan zijn er enkele opties:

Het draait er bij dergelijke overeenkomsten vooral om dat je de basisbeginselen van de AVG goed op orde hebt. Waar zitten gegevens, hoe spannend zijn die, mag je ze verwerken en krijgen partijen om je heen een duidelijk en transparant beeld over wat ermee wordt gedaan en kunnen ze daar akkoord mee gaan? Kortom: zijn de relaties op orde? Daar gaat het om.

Wanneer je de basisbeginselen van de AVG op orde hebt, dan kom je daarna op het gebied van het bewustzijn van privacy en veilig gedrag, wat ook een aandachtspunt is voor een SO. Je ziet in veel organisaties bijvoorbeeld regelmatig dat er Excellijstjes gedeeld worden met daarin persoonsgegevens die niet zo verstrekt hadden mogen worden. Zowel een SO als FG “vindt er iets van” als iemand binnen zijn/haar organisatie op die manier te werk gaat.

Bovenstaand voorbeeld gaat over gedrag van mensen binnen de organisatie. Ook al heb je alles in je organisatie nog zo goed ingericht en uitgedacht, je moet de mensen binnen de organisatie regelmatig helpen hoe ze goed kunnen blijven handelen. We zijn allemaal dagelijks aan het werk en maken wel eens een foutje. Er moet een bepaalde basis van bewustzijn rondom privacy en andere persoonsgegevens zijn om te veel van die foutjes te voorkomen. Om die reden zit er een bewustzijnsverantwoordelijkheid bij de FG die hij richting medewerkers kenbaar moet maken. Hij moet de basisprincipes van wat goed privacybeleid omvat onder de aandacht (blijven) brengen. Dat kan bijvoorbeeld wanneer de FG met data-verantwoordelijken om tafel zit om te checken of de datahygiëne nog op orde is. Op zo’n moment kan hij/zij die personen ook weer even bewust maken.

Tot slot is een Functionaris Gegevensbescherming belast met eventuele datalekken. Hopelijk zijn die niet of zeer weinig aanwezig, maar doorgaans is het zo dat hoe groter de organisatie is, des te groter de kans dat het een dagtaak is. Bij de meeste organisaties is dat gelukkig niet het geval. In de AVG-wet staat dat een datalek gemeld moet worden. Daarbij is het ook weer belangrijk dat er voldoende bewustzijn binnen de organisatie is. Dat mensen zich niet afvragen of er misschien iets mis is gegaan, maar dat er juist actie ondernomen wordt als men het niet vertrouwt.

Je wilt dat het bewustzijn binnen een organisatie zo hoog is, dat mensen gelijk alarm slaan als ze iets verdachts zien. Liever een melding dat er potentieel iets mis is wat je als FG moet onderzoeken, dan helemaal geen melding. Wanneer er melding wordt gedaan, gaat de FG die onderzoeken. Hij/zij bekijkt hoe erg de melding is, of er opgeschaald moet worden (wellicht tot aan directie toe), en zal, indien nodig, uiteindelijk melding doen bij onder andere de Autoriteit Persoonsgegevens. De FG zorgt er vervolgens uiteraard voor dat dergelijke voorvallen in de toekomst niet meer voor kunnen komen.

De werkzaamheden van een Functionaris Gegevensbescherming mogen ook door een extern persoon worden uitgevoerd. Outsourcen van een FG bescherming heeft zo zijn voordelen. Zo is de onafhankelijkheid beter geborgd. Daarnaast heeft een externe FG ervaringen opgedaan bij meerdere bedrijven en daarnaast toegang tot een netwerk van FG’s waardoor het werk sneller en efficiënter uitgevoerd kan worden.

Besteed je de taken van de Functionaris Gegevensbescherming liever uit? Dan ben je bij CertificeringsAdvies Nederland aan het juiste adres! Door middel van outsourcing nemen wij alle taken van de Functionaris Gegevensbescherming uit handen.

De voordelen:

In dit artikel heb je kunnen lezen over de taken en verantwoordelijkheden van een Functionaris Gegevensbescherming. Wil je aan de slag met het op orde brengen van de privacy binnen je organisatie? Of overweeg je juist om een FG in te huren? Schroom dan niet om contact met ons op te nemen. Wij helpen je graag op weg!