U bent hier

9.1 Wat doet een FG?

Dit artikel is eerder verschenen als Themadossier HR Rendement
Publicatiedatum: april 2018

taken

De eerste vraag die in u opborrelt, is waarschijnlijk wat een FG precies doet. Uit de AVG vloeit voort dat de FG ten minste de volgende drie taken tot zijn werkzaamheden kan rekenen:

  • ongevraagd adviseren en informeren;
  • gevraagd adviseren en informeren;
  • intern toezicht houden op naleving van de AVG.

9.1.1 Ongevraagd adviseren en informeren

EU-breed

De FG informeert en adviseert de organisatie of de verwerker van gegevens die de organisatie in de arm heeft genomen over zijn of haar verplichtingen die volgen uit de wet. Dat kan de AVG zijn, maar ook een andere nationale of EU-brede bepaling op het gebied van gegevensbescherming.

9.1.2 Gevraagd adviseren en informeren

De FG kan op verzoek advies verstrekken over de zogeheten gegevensbeschermingseffectbeoordeling en toezien op de uitvoering daarvan.

Het is een mondvol: gegevensbeschermingseffectbeoordeling. Daarom wordt in de praktijk meestal de term data protection impact assessment (DPIA) gebruikt. Dit begrip is terug te vinden in Artikel 35 van de AVG. In hoofdstuk 8 leest u meer over de DPIA.

Privacy Impact Assessment

DPIA

In artikel 35 van de AVG over de DPIA staat dat de verantwoordelijke persoon het advies van de FG moet inwinnen. Artikel 39 verplicht de FG dan weer om advies te verstrekken of toe te zien op de uitvoering van de DPIA op het moment dat hem dat gevraagd wordt.

Advies inwinnen

Er zijn volgens de AVG een aantal DPIA-vragen die de verantwoordelijke persoon aan de FG moet stellen:

  • Moet er een DPIA uitgevoerd worden?
  • Welke onderzoeksmethodes moet de organisatie hiervoor gebruiken?
  • Is het nodig om de uitvoering van de DPIA uit te besteden aan een gespecialiseerd bureau?
  • Welke technische en organisatorische maatregelen moet de organisatie nemen om de risico’s voor betrokkenen te beperken?
  • Is de DPIA op de juiste manier uitgevoerd en voldoen de getrokken conclusies aan de AVG?

Contactpersoon

contactpersoon

privacyrisico’s

De rol van een FG bij het uitvoeren van de DPIA kan naast adviseren ook bestaan uit:

  • met de Autoriteit Persoonsgegevens (AP) samenwerken;
  • optreden als contactpersoon voor de AP. Het gaat dan met name om zaken die verband houden met persoonsgegevensverwerking. Hier is een en ander over vastgelegd in artikel 36 van de AVG. Zo moet uw organisatie voorafgaand aan de verwerking van persoonsgegevens een melding doen bij de AP als uit de DPIA blijkt dat de privacyrisico’s groot zijn.

9.1.3 Toezicht op naleving AVG

Intern toezicht houden op het naleven van de Europese privacyregels is ook een taak van de FG.

opleiding

Daarnaast kijkt de FG naar het beleid van de organisatie op het gebied van de bescherming van persoonsgegevens. Hij schenkt speciale aandacht aan de toewijzing van verantwoordelijkheden, bewustmaking, opleiding van bij de verwerking betrokken personeel en audits.

FG’s kunnen lid worden van een beroepsvereniging: het Nederlands Genootschap van Functionarissen voor de Gegevensbescherming. Overigens kunnen ook andere privacy-experts zich bij dit genootschap aanmelden.

Rekening houden

Uit de wettekst van AVG volgt dat de FG bij de uitvoering van zijn taken rekening moet houden met de risico’s die verbonden zijn aan het verwerken van persoonsgegevens binnen de organisatie. Ook moet de FG aandacht hebben voor de aard, de omvang, de context en de doeleinden van de verwerkingen.