Checklist Functionaris Gegevensbescherming

In de Europese Privacy wet, de Algemene Verordening Gegevensbescherming (AVG), is het voor sommige organisaties verplicht een functionaris gegevensbescherming (FG) aan te stellen. Tot 25 mei 2018 geldt de Wet Bescherming Persoonsgegevens (Wbp), daarna is de Europese Algemene Verordening Gegevensbescherming van toepassing. Met behulp van onderstaande checklist kunt u nagaan of voor uw organisatie een functionaris gegevensbescherming verplicht is.

Checklist Functionaris gegevensbescherming

Indien u bij één van onderstaande vragen een JA invult, dan bent u verplicht een FG aan te stellen.

• Is uw organisatie een nationaal, regionaal, lokale overheidsinstantie of een publiekrechtelijke instelling;
  bijvoorbeeld: rijksoverheid, provincie, gemeenten, zorg- of onderwijsinstelling.
• Is één van de kerntaken het stelselmatig en op grote schaal observeren van personen.
  bijvoorbeeld: lokalisering met mobiele apps, profilering en beoordeling voor risicoanalyse, klantenkaart, monitoring van gezondheid via apps, advertenties op basis van internetgebruik, beveiligingscamera’s, verbonden apparatuur zoals slimme meters, smart TV’s (Internet Of Things).
• Verwerkt u op grote schaal persoonsgegevens van bijzondere categorieën:
  • ras/ etnische afkomst;
  • politieke opvattingen;
  • religieuze of levensbeschouwelijke overtuigingen;
  • lidmaatschap van een vakbond;
  • genetische of biometrische persoonsgegevens;
  • gezondheid;
  • seksueel gedrag of seksuele gerichtheid;
  • strafrechtelijke veroordelingen en/of strafbare feiten;

Publiekrechtelijke instelling

Wat zijn de kenmerken van een publiekrechtelijke instelling:

1. heeft als doel te voorzien in behoeften van algemeen belang die niet van industriële of commerciële aard zijn, en
2. heeft een rechtspersoonlijkheid, en
3. de activiteiten worden in hoofdzaak door de staat (nationaal, regionaal of lokaal) gefinancierd.
   of het beheer ervan staat onder toezicht van de staat;
   of het bestuur bestaat voor meer dan de helft uit de staat.

Verwerking op grote schaal

Definitie van grootschalige verwerking is:

• verwerking van een aanzienlijke hoeveelheid persoonsgegevens op regionaal, nationaal of internationaal niveau,
• waarvan een groot aantal betrokkenen gevolgen zou kunnen ondervinden en
• die vanwege hun gevoelige aard een hoog risico met zich meebrengen.

Grootschalige verwerking is dus niet verwerking van patiëntgegevens door bijvoorbeeld een individuele arts en verwerking van veroordelingen en strafbare feiten door een individuele advocaat.

Wat zijn de taken van een functionaris gegevensbescherming?

De FG houdt intern toezicht opdat de verwerking van persoonsgegevens volgens de privacy wet- en regelgeving plaatsvindt. Verder heeft deze functionaris onder andere de volgende taken:

• informeert en adviseert de verwerkingsverantwoordelijke, verwerker en werknemers over de verplichtingen die voortvloeien uit deze wetgeving;
• geeft desgevraagd advies met betrekking tot “gegevensbeschermingseffect-beoordelingen” (GEB) en ziet toe dat de uitvoering in overeenstemming is met de wet;
• is aanspreekpunt bij “datalekken”, zowel binnen de organisatie als met de Autoriteit Persoonsgegevens (AP) en werkt samen met hen.

Een functionaris gegevensbescherming aanstellen

Bent u als organisatie verplicht een functionaris gegevensbescherming aan te stellen, wacht er dan niet te lang mee. Deze functionaris moet onafhankelijk zijn taken binnen de organisatie kunnen uitvoeren en moet tenminste deskundig zijn op het gebied van privacy wet- en regelgeving. Aan te raden is kennis en ervaring op het gebied van informatiebeveiliging en kennis van de bedrijfstak.

Uw FG on demand!

U mag een FG in loondienst aannemen, maar u kunt er ook voor kiezen dit extern onder te brengen en bijvoorbeeld mijn hulp in te schakelen. Heeft u vragen? Neemt u gerust contact met mij op!