Functionaris GegevensbeschermingSteeds vaker, maar met name sinds de komst van de AVG-wet, hoor je de term ‘Functionaris Gegevensbescherming’ voorbijkomen. Of in het Engels: “Data Protection Officer”. Maar wat is dat precies? En wat zijn de verantwoordelijkheden en taken van een Functionaris Gegevensbescherming (FG) binnen een organisatie? In dit artikel wordt op al deze vragen uitgebreid antwoord gegeven. Na het lezen van het artikel weet je precies wat een FG doet, of zou moeten doen, binnen een organisatie. Heb je hierover (nog) andere vragen? Stel ze gerust. En overweeg je om een FG in te huren? Ook dan kunnen we je van dienst zijn middels onze dienst outsourcing. We helpen je graag op weg!

Wat is een Functionaris Gegevensbescherming?

Om de vraag ‘wat is een Functionaris Gegevensbescherming (FG)’ kort en bondig te beantwoorden: de FG houdt in een organisatie toezicht op de omgang met persoonsgegevens. En ziet m.b.t de EU toe op het toepassen en naleven van de Algemene verordening gegevensbescherming (AVG, soms beter bekend als GDPR). Doorgaans heb je in een organisatie aan de ene kant de Security Officer (SO) en aan de andere kant heb je iemand die vanuit privacy-oogpunt heel veel hetzelfde wil als de Security Officer, maar in de praktijk andere taken heeft: de FG. Een FG trekt als het ware samen met de SO op en opereert in principe naast hem of haar.

Outsourcen van informatiebeveiliging? 

Wil je binnen jouw organisatie naar een hoger niveau op het gebied van informatiebeveiliging? Middels de dienst ‘Outsourcing’ kunnen wij je volledig ontzorgen op dit gebied.

Meer informatie

Security Officer As A Service

Waar zit dan het verschil? Het vertrekpunt van een SO is informatiebeveiliging in de breedste zin van het woord, waar het vertrekpunt van een Functionaris Gegevensbescherming is om erop toe te zien dat met betrekking tot de omgang met persoonsgegevens de AVG-wet nageleefd wordt. In de praktijk betekent het makkelijk gezegd dat de privacy gewoon netjes geregeld is. In grotere organisaties zie je dat de rol van de FG losstaat van de rol van de IT-manager. De FG-rol is dan meer een compliance rol, toezichtrol of juristenrol. Om deze reden is het ook beter als de FG geen management of directiepositie heeft: dan is de onafhankelijke controle makkelijker. Hoe dan ook, je kunt de rol uitvoeren met minder technische kennis dan de SO of de IT-manager. Uiteraard is het wel bevorderlijk als je wel een beetje technisch onderlegd bent.

De FG zorgt voor het op orde houden van de data-hygiëne

De AVG-wet eist dat je als organisatie beheersmaatregelen treft om je gegevens veilig te houden. Wanneer er een SO actief is binnen de organisatie, dan heeft de Functionaris Gegevensbescherming daar voordeel bij. De SO verzorgt dan namelijk de meer technische maatregelen, waardoor de FG kan focussen op het gebruik ervan in de praktijk. Ofwel:

  • Wordt er met de gegevens omgegaan zoals de organisatie zegt dat te doen?
  • Doet de organisatie datgene wat mensen om de organisatie heen (de betrokkenen) ervan verwachten?
  • Bewaart de organisatie, vanuit privacy oogpunt, gegevens niet langer dan afgesproken?

In deze situatie is de FG-rol dus een wat meer toezichthoudende taak. Hoe werkt dat dan in de praktijk? Iedere organisatie krijgt via behoorlijk veel kanalen gegevens binnen. Die gegevens ontvangt de organisatie van andere mensen/organisaties en vrijwel altijd komt er met die gegevens een persoonsaspect mee. In principe wil je van al die gegevens garanderen dat ze niet te lang ‘blijven liggen’, niet onnodig gebruikt of opgeslagen worden en niet onnodig veel gegevens bevatten. Het gaat er dus om dat je als organisatie enkel uitvraagt wat je echt nodig hebt: dat is de basis van privacy.

Om dat te realiseren dien je dit in goede samenspraak met die ander (de gegevensverstrekker) te doen. Als je duidelijk maakt waarom je bepaalde gegevens nodig hebt, dan zal de ander daarin met je meegaan. Wil iemand bijvoorbeeld nieuwsbrieven ontvangen van je organisatie? Dat kan, uiteraard. Je moet er als organisatie dan wel scherp op blijven dat je niet te veel met die gegevens doet en de gegevens niet langer bewaart dan nodig/afgesproken. Op dat soort zaken houdt een Functionaris Gegevensbescherming toezicht. Kortom, een Functionaris Gegevensbescherming zorgt voor een goede data-hygiëne. In de praktijk komt dat dus meer neer op (gedrag) monitoren en bijsturen, dan dat het echt een uitvoerende taak is.

Register van verwerkingsactiviteiten

Zin en onzin van de AVGDe AVG-wet stelt dat je bij bepaalde omstandigheden moet beschikken over een register van verwerkingsactiviteiten; ook wel een verwerkingsregister genoemd. Heb je dat als organisatie echt nodig? Zie het zo: zodra privacy en/of informatiebeveiliging ook maar een beetje speelt binnen je organisatie, kom je al snel in aanraking met andere partijen die van jouw organisatie verlangen dat je een dergelijk register bijhoudt. Je kunt dan, als FG, allerlei redenen aanhalen waarom je geen register nodig hebt, maar in feite kun je het maar beter opstellen. Het is niet enorm complex om een verwerkingsregister op te stellen. Sterker nog, het is zelfs goed om er als organisatie eens bij stil te staan en het maakt het werk van de FG ook beter mogelijk. Er is namelijk eenduidig opgeschreven:

  • Wat voor data waar zit;
  • Hoelang gegevens bewaard worden;
  • Waarvoor het in gebruik is.

Wanneer je werkt met een register van verwerkingsactiviteiten, dan kun je andere mensen uit de organisatie makkelijker betrekken bij de FG-taken. Voorbeeld: Degene die verantwoordelijk is voor sales heeft gegevens over leads en klanten nodig. Het is dan makkelijk als je één keer goed uitschrijft hoe dat in zijn werk gaat, dan hoef je daarna periodiek enkel kort met elkaar te overleggen of het nog steeds zo werkt. Indien dat niet het geval is, dan dient het register aangepast te worden. Is er bijvoorbeeld een module bijgekomen? Dan check je of daar bijzondere gegevens inzitten en vervolgens noteer je dat in het register. Noteer het, voor de compleetheid, ook als dit niet het geval is. Je schrijft op waar je gegevens zitten en zorgt dat er aan de verplichtingen wordt voldaan, zodat gegevens niet ‘op de plank’ blijven liggen. Het verwerkingsregister is een superhandig instrument om op te zetten en als FG moet je dat eigenlijk gewoon willen.

In sommige gevallen kan het wel eens voorkomen dat je als FG een informatiesysteem aantreft dat niet op de kaart staat of waarin gegevens onbeveiligd staan opgeslagen. Dan ga je daar als FG vervolgens wat van vinden. In zo’n geval ga je iets verder dan enkel het op orde houden van de data-hygiëne. Daarbij wel de opmerking dat dat het vrij uitzonderlijk is dat je als FG zoiets constateert als er in een organisatie ook een (CI)SO actief is. Het zou namelijk betekenen dat er ergens wijzigingsprotocollen niet zijn gevolgd, want als dat wel het geval was zou een (onbeveiligd) systeem dat onbekend is niet onopgemerkt zijn gebleven.

Taken rondom privacy beleid en privacyverklaring

Wat valt er nog meer onder de taken van de FG? Die taken zitten doorgaans vast aan het privacy beleid en privacyverklaring(en). Het meest bekende en meest bekeken beleidsstuk is de privacyverklaring op de website van een organisatie. Mensen die informatie willen over een organisatie, gaan eerst op Google zoeken en komen dan vervolgens uit op de website. Zo’n website begint vervolgens in mindere of meerdere mate gegevens op te slaan; deels functioneel en deels marketingtechnisch. Je wilt er als organisatie voor zorgen dat de grote bulk anonieme bezoekers of relaties-in-wording op voorhand weet wat jij als organisatie kunt doen met die gegevens. Om die reden plaats je een privacyverklaring op je website. Als je die eenmaal online hebt staan, dan kun je de tekst steeds verder uitbreiden.

Waarom zou je andere relaties van je organisatie namelijk niet via hetzelfde, online beschikbare, document informeren? Je kunt in je privacyverklaring, op je website, dus ook opnemen wat je met de gegevens doet van iemand die klant wordt. Je werkt vanaf dat moment voor je klant en dat is een wettelijke grondslag op basis waarvan je bepaalde gegevens van de klant op mag slaan. Welke gegevens dat zijn en hoe je daarmee omgaat kun je opnemen in dezelfde privacyverklaring. Door die verklaring zo volledig mogelijk te maken en op een centrale plek, zoals je website, te plaatsen kun je er mooi gebruik van maken als (hyper)link in contracten of in de footer van je email-handtekening ed.

Het gaat erom dat je, namens je organisatie, iedere keer zorgvuldig nagaat of datgene wat je doet met de gegevens daadwerkelijk ook mag op basis van een wettelijke grondslag. Die grondslag dien je duidelijk te maken aan je relatie. Een relatie gaat in de meeste gevallen akkoord met die informatie, omdat hij/zij de dienst graag geleverd wil krijgen. Je kunt het dan zo zien dat je als volwassenen onder elkaar een samenwerkingsafspraak aan bent gegaan die volgens de wet is toegestaan. Als organisatie moet je dan uiteraard wel binnen de kaders van wat je met elkaar hebt afgesproken opereren en niet ineens iets nieuws gaan doen wat niet in het beleid stond en/of niet gecommuniceerd is.

Verwerkersovereenkomsten

Cookies website AVG en e-privacyGeen enkele organisatie leeft op een eiland. Iedere organisatie heeft immers leveranciers nodig om te kunnen blijven draaien. Daarnaast zijn er ook een aantal partijen die je vanuit de wet verplicht bent om jaarlijks gegevens toe te sturen (zoals de Belastingdienst). Verder heeft vrijwel iedere organisatie een IT-leverancier. Gegevens die je als organisatie opslaat over personen zijn vaak toegankelijk voor die IT-leverancier. Je moet er dus zeker van zijn dat ook jouw leveranciers hun verantwoordelijkheid nemen. Om dat te kunnen garanderen maak je als FG een verwerkersovereenkomst. Dat is een contract tussen jouw organisatie en de leverancier waarin staat wat de leverancier moet doen om te garanderen dat wat jij als organisatie wilt op het gebied van informatiebeveiliging ook daadwerkelijk gebeurt. Het feit dat je een leverancier hebt en hetgeen wat die organisatie voor jou doet vermeld je in je privacybeleid.

Wanneer een opdrachtgever van je organisatie een verwerkersovereenkomst met je organisatie wil, dan zijn er enkele opties:

  • Een standaard overeenkomst waarin, omdat jij een duidelijk en specifiek product levert, jij aangeeft wat een klant van jouw organisatie wil, zodat hij er alleen ja op hoeft te zeggen (het is zijn verantwoordelijkheid dat dit aan zijn eisen voldoet);
  • Wanneer je werkt met een klant die privacygevoelige gegevens heeft en daarom zijn eigen verwerkersovereenkomst wil opleggen aan jouw organisatie, dan is het aan de FG om zo’n overeenkomst te checken. De FG bekijkt dan of de overeenkomst realistisch en haalbaar is en of er geen overbodige eisen in staan. Je ziet namelijk nog altijd dat relaties proberen de leverancier verplichtingen op te leggen die volgens de wet niet noodzakelijk zijn. Denk aan boeteclausules, doorbelasting van vervolgschade etc. Over dat soort zaken kun je onderling afspraken maken, maar is geen eis vanuit de AVG. De AVG regelt namelijk zelf al dat diegene die de fout maakt, aansprakelijk is voor de gevolgen. De FG gaat dus vooral evalueren wáár de organisatie voor tekent en geeft de organisatie hierin een advies.

Het draait er bij dergelijke overeenkomsten vooral om dat je de basisbeginselen van de AVG goed op orde hebt. Waar zitten gegevens, hoe spannend zijn die, mag je ze verwerken en krijgen partijen om je heen een duidelijk en transparant beeld over wat ermee wordt gedaan en kunnen ze daar akkoord mee gaan? Kortom: zijn de relaties op orde? Daar gaat het om.

Artikeltip: Omdat veel IT-leveranciers uit de VS komen, is daar expliciet aandacht voor nodig, zeker sinds het wegvallen van Privacy Shield. Meer weten? Lees dan: ‘Privacy Shield ingetrokken, en nu?

Het bewustzijn van privacy en gedrag

Wanneer je de basisbeginselen van de AVG op orde hebt, dan kom je daarna op het gebied van het bewustzijn van privacy en veilig gedrag, wat ook een aandachtspunt is voor een SO. Je ziet in veel organisaties bijvoorbeeld regelmatig dat er Excellijstjes gedeeld worden met daarin persoonsgegevens die niet zo verstrekt hadden mogen worden. Zowel een SO als FG “vindt er iets van” als iemand binnen zijn/haar organisatie op die manier te werk gaat.

Voorbeeld: Je wilt als organisatie relaties die een cursus bij je hebben gevolgd een bloemetje sturen aan het eind van het jaar. Om dat te realiseren stuurt een collega van je het hele klantenbestand naar de bloemenhandel, inclusief alle uitslagen van toetsen voor cursussen die de klanten gevolgd hebben, want in datzelfde bestand staan de NAW-gegevens van de relaties die een bloemetje moeten ontvangen. Daar word je als FG natuurlijk niet blij van. De leverancier van de bloemen heeft al die informatie immers niet nodig om de bloemetjes te kunnen sturen. Er had een bestandje gemaakt moeten worden met daarin enkel de NAW-gegevens, nadat het idee dat deze gegevens daarvoor werden gebruikt was gecheckt met de FG. Cursisten die hebben aangegeven dat ze niet willen dat dit soort data naar een andere partij, zoals een bloemenhandel gaat, stuur je dan ook geen bloemetje.

Bovenstaand voorbeeld gaat over gedrag van mensen binnen de organisatie. Ook al heb je alles in je organisatie nog zo goed ingericht en uitgedacht, je moet de mensen binnen de organisatie regelmatig helpen hoe ze goed kunnen blijven handelen. We zijn allemaal dagelijks aan het werk en maken wel eens een foutje. Er moet een bepaalde basis van bewustzijn rondom privacy en andere persoonsgegevens zijn om te veel van die foutjes te voorkomen. Om die reden zit er een bewustzijnsverantwoordelijkheid bij de FG die hij richting medewerkers kenbaar moet maken. Hij moet de basisprincipes van wat goed privacybeleid omvat onder de aandacht (blijven) brengen. Dat kan bijvoorbeeld wanneer de FG met data-verantwoordelijken om tafel zit om te checken of de datahygiëne nog op orde is. Op zo’n moment kan hij/zij die personen ook weer even bewust maken.

Onderzoek naar en melden van datalekken

Wat is een ISMS - ISO 27001Tot slot is een Functionaris Gegevensbescherming belast met eventuele datalekken. Hopelijk zijn die niet of zeer weinig aanwezig, maar doorgaans is het zo dat hoe groter de organisatie is, des te groter de kans dat het een dagtaak is. Bij de meeste organisaties is dat gelukkig niet het geval. In de AVG-wet staat dat een datalek gemeld moet worden. Daarbij is het ook weer belangrijk dat er voldoende bewustzijn binnen de organisatie is. Dat mensen zich niet afvragen of er misschien iets mis is gegaan, maar dat er juist actie ondernomen wordt als men het niet vertrouwt.

Je wilt dat het bewustzijn binnen een organisatie zo hoog is, dat mensen gelijk alarm slaan als ze iets verdachts zien. Liever een melding dat er potentieel iets mis is wat je als FG moet onderzoeken, dan helemaal geen melding. Wanneer er melding wordt gedaan, gaat de FG die onderzoeken. Hij/zij bekijkt hoe erg de melding is, of er opgeschaald moet worden (wellicht tot aan directie toe), en zal, indien nodig, uiteindelijk melding doen bij onder andere de Autoriteit Persoonsgegevens. De FG zorgt er vervolgens uiteraard voor dat dergelijke voorvallen in de toekomst niet meer voor kunnen komen.

Meer informatie over de Functionaris Gegevensbescherming?

In dit artikel heb je kunnen lezen over de taken en verantwoordelijkheden van een Functionaris Gegevensbescherming. Wil je aan de slag met het op orde brengen van de privacy binnen je organisatie? Of overweeg je juist om een FG in te huren? Schroom dan niet om contact met ons op te nemen. Wij helpen je graag op weg!


Outsourcing

CertificeringsAdvies Nederland | T. 085 – 487 99 72 | E. info@certificeringsadvies.nl