De rollen van de Functionaris Gegevensbescherming

Met de intreding van de Algemene verordening gegevensbescherming (AVG) spelen Functionarissen gegevensbescherming (FG) / Data Protection Officers (DPO’s) een essentiele rol voor de bescherming van de persoonsgegevens die jouw organisatie verwerkt. Door te voldoen aan de verantwoordingsplicht  lever je een belangrijke bijdrage aan de bescherming van het grondrecht van mensen op privacy.

Regelmatig komt het voor dat FG’s, niet of te laat betrokken worden bij plannen waarbij gegevens worden verwerkt, niet de juiste stukken ontvangen of onvoldoende tijd krijgen om te kunnen doen wat er van een FG wordt verwacht. Met als risico dat gegevens niet goed beschermd worden. Onlangs publiceerde de Autoriteit Persoonsgegevens (AP) uitgangspunten voor de positionering van de DPO.

bron: Autoriteit persoonsgegevens

8 Uitgangspunten

1. FG als adviseur
   De FG is de interne, onafhankelijke privacyfunctionaris ten dienste van de organisatie. De organisatie is verantwoordelijk voor het opstellen en uitvoeren van het privacybeleid. De FG ziet toe op de naleving hiervan en brengt advies uit over de risico’s van bestaande verwerkingen en voorgenomen nieuwe producten en diensten.
2. FG als toezichthouder
   De FG is de onafhankelijke interne toezichthouder. De FG controleert of de organisatie de AVG goed toepast en ziet erop toe dat betrokkenen hun privacyrechten kunnen uitoefenen. Problemen met compliance bespreekt de FG met de verantwoordelijke binnen de organisatie.
3. Middelen en toegang tot bestuur
   Het bestuur van de organisatie waarborgt de onafhankelijke positie van de FG door deze op de juiste manier organisatorisch in te bedden, en de FG voldoende middelen en toegang tot het bestuur en de organisatie te geven. Ook zorgt de organisatie ervoor dat de FG vroegtijdig betrokken wordt bij zaken die verband houden met de bescherming van persoonsgegevens. Problemen met middelen en positionering bespreekt de FG met het bestuur van organisatie. In het uiterste geval kan de FG om rugdekking vragen bij de AP. Dat kan wanneer de FG na herhaalde pogingen geen bevredigende reactie krijgt, bijvoorbeeld ontslagen dreigt te worden of anderszins ervaart dat zijn onafhankelijke positie onder druk komt te staan. De AP komt pas in beeld wanneer andere interventies van de FG geen soelaas hebben geboden. De AP kiest zelf wat de AP met dit verzoek doet.
4. Informatiepositie FG
   Wanneer de AP contact heeft met een organisatie wordt de FG (direct of zo snel mogelijk erna) hiervan op de hoogte gesteld. Het is de verantwoordelijkheid van de organisatie om de FG tijdig en naar behoren te informeren. De AP verwacht dat de organisatie deze plicht uiterst serieus neemt.
5. Klachten en escalatieladder
   De AP gaat ervan uit dat betrokkenen (burgers, klanten, medewerkers) die er met de organisatie niet uitkomen, zich eerst tot de FG wenden voordat zij zich bij de AP melden. Het is niet verboden voor de betrokkene om zich direct bij de AP te melden, maar de AP wijst wel actief op de gewenste volgorde.
6. Start onderzoek
   Besluit de AP een formeel onderzoek te starten, dan spreekt de AP vanaf dat moment niet met de FG over de inhoud van het onderzoek.
7. Gebruik inzichten FG door AP
   De AP kan adviezen van de FG aan de organisatie bij de beeldvorming en oordeelsvorming betrekken.
8. FG als informatieknooppunt
   Het is voor de FG niet gepast om in een juridische procedure namens de organisatie te spreken, omdat dit zijn onafhankelijke positie aantast. De organisatie kan wel voor het reguliere contact met de AP verzoeken om de FG als primair aanspreekpunt (informatieknooppunt) te laten fungeren. Afhankelijk van de fase en aard van het contact kan de AP dit toestaan.

Functionarissen Gegevensbescherming (FG) / Data Protection Officer’s (DPO) staan voor vele uitdagingen. Het is dan ook raadzaam om je voortdurend te blijven ontwikkelen.

---