Functionaris Gegevensbescherming

Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. De AVG stelt de aanstelling van een Data Protection Officer (DPO), oftewel de Functionaris Gegevensbescherming (FG) in bepaalde gevallen verplicht.

Voor zorgaanbieders die bijzondere categorieën persoonsgegevens verwerken, te weten gegevens betreffende de gezondheid van haar eigen cliënten of die van haar opdrachtgevers, geldt de verplichting tot aanstelling van een FG.

Op deze pagina treft u meer informatie over de aanstelling van de FG vanuit de AVG.

Aanstelling FG

Verplichting

De Verordening stelt de aanstelling van een FG verplicht in de volgende drie gevallen:

1. Overheden, publieke organisaties en zorginstellingen
Overheidsinstanties en publieke organisaties zijn altijd verplicht om een FG aan te stellen, ongeacht het type gegevens dat ze verwerken. Dit geldt dus ook voor zorginstellingen en gemeenten.

2. Observatie
De verplichte aanstelling geldt ook voor organisaties actief in de zorg die vanuit de hun primaire processen op grote schaal patiënten volgen. Het kan hierbij gaan om bijvoorbeeld profilering van mensen voor het maken van risico-inschattingen en monitoring van iemands gezondheid.

3. Bijzondere persoonsgegevens
Ook organisaties die op grote schaal ‘bijzondere persoonsgegevens’ verwerken moeten een FG aanstellen. Het gaat hierbij dan om gegevens over iemands gezondheid.

Kenmerken FG

De AVG schrijft voor dat een FG aangewezen dient te worden op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen de in de Verordening bedoelde taken te vervullen.

Adequate en regelmatige opleiding en training van de FG wordt hierbij zeker aangeraden. Daarbij zal de FG de sector en de organisatie van de organisatie waarvoor hij werkt zeer goed moeten begrijpen om de implicaties van de Verordening goed te begrijpen en hiernaar te kunnen handelen.

Het is niet noodzakelijk om een medewerker werkzaam binnen de organisatie als FG aan te stellen. Het is ook mogelijk om een persoon of organisatie extern op basis van een service contract aan te stellen als FG. Voordeel van het aanwijzen van een organisatie als FG kan zijn dat binnen die organisatie een team kan worden ingericht waarbij ieder individu met zijn expertise invulling geeft aan de rol van FG.

Rol en positie van FG

Rol

De FG vervult een key role bij de zorg voor de juiste cultuur binnen de organisatie omtrent de bescherming van persoonsgegevens. De FG helpt tevens bij de implementatie van de essentiële elementen uit de Verordening. Denk hierbij aan de inrichting van een register van verwerkingsactiviteiten, de bescherming van persoonsgegevens by design en by default of het waarborgen van rechten van betrokkenen.

Om ervoor te zorgen dat de FG zijn taken naar behoren kan uitvoeren, geldt dat deze geen instructies in verband met de uitvoering zijn taken mag ontvangen van de directie. De FG moet zijn taken onafhankelijk kunnen uitvoeren. De FG heeft hierbij binnen de organisatie een adviserende rol die hij autonoom moet kunnen invullen.

Het is aan de directie van de organisatie om de door de FG gegeven adviezen te volgen of niet. Indien er wordt afgeweken van het advies van de FG, dient dit duidelijk te worden gemotiveerd. Uiteindelijk blijft de directie verantwoordelijk voor de compliance van de organisatie met de privacywet- en regelgeving.

De FG moet in ieder geval altijd de mogelijkheid hebben om in voorkomend geval zijn mening afwijkend van de directie duidelijk te maken.Daarbij mag de FG niet worden ontslagen of anderszins “gestraft” voor de uitvoering van zijn taken. Hierin neemt de FG een vergelijkbare positie in als leden van de ondernemingsraad.

Positie

Volgens de Verordening zorgt de verwerker ervoor dat de FG naar behoren en tijdig wordt betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens. Het is cruciaal dat de FG in een vroegtijdig stadium betrokken wordt bij alle issues die verband houden met de bescherming van persoonsgegevens.

Zo zal de FG in een vroeg stadium betrokken dienen te worden bij de uitvoering van privacy impact assessments en zal zijn advies hierbij moeten worden ingewonnen. De FG is hierbij een discussiepartner en maakt onderdeel uit van de overlegstructuren/werkgroepen die zich bezighouden met die ontwikkelingen die de verwerking van persoonsgegevens raken. Zo zal de FG bijvoorbeeld

  • Regelmatig bij (management)teamoverleggen moeten worden uitgenodigd;
  • Betrokken moeten worden bij besluiten die implicaties hebben voor de verwerking van persoonsgegevens. Informatie zal hiervoor tijdig bij de FG moeten worden neergelegd, zodat die de adequaat kan adviseren;
  • Het advies van de FG weegt zwaar. Wordt het advies van de FG niet gevolgd, dan zal dit moeten worden gemotiveerd;
  • De FG dient altijd bij datalekken te worden betrokken.

Taken van FG

Taken

In het kader van zijn verantwoordelijkheid om ervoor te zorgen dat u compliant bent als het gaat om de AVG heeft de FG in ieder geval de volgende taken:

  • Het verzamelen van informatie om alle verwerkingsactiviteiten te kunnen identificeren;
  • Het analyseren en controleren van de verwerkingsactiviteiten op compliance met de AVG;
  • Het informeren en adviseren van de directie en waar nodig doen van aanbevelingen.

De AVG schrijft ook voor dat er een register wordt opgesteld van alle verwerkingsactiviteiten die zowel de verwerker voor de gegevensverantwoordelijke als de gegevensverantwoordelijke zelf uitvoert. De FG kan bij de inrichting of controle op dit register ook een rol spelen. De FG is echter niet verantwoordelijk voor het compliant zijn van uw organisatie aan de AVG. Dat is de verwerker en/of de gegevensverantwoordelijke zelf.

Prioriteitsstelling

Omdat de FG bij de uitvoering van zijn werkzaamheden ook prioriteiten zal moeten stellen, is het van belang dat de FG ook in staat is om zich een oordeel te geven over de risico’s verbonden aan de verschillende verwerkingsactiviteiten.

Het is niet zo dat de FG dan verwerkingen met een laag risico kan laten liggen, maar dit geeft hem een indicatie van de focus die hij bij de uitvoering van zijn taken moet aanbrengen. De FG houdt bij de uitvoering van zijn taken rekening met de aan de verwerking verbonden risico’s en met de aard, de omvang en de context van de verwerkingsdoeleinden.

Samenwerking met AP

De FG werkt samen met de Autoriteit Persoonsgegevens (AP) in verband met aangelegenheden die de verwerking van persoonsgegevens betreffen. De FG fungeert als contactpunt voor de AP en pleegt waar nodig overleg met de AP.

Waar nodig raadpleegt de FG de AP ook. Dit kan bijvoorbeeld aan de orde zijn als uit een gegevenseffectbeoordeling blijkt dat een hoog risico verbonden is aan een bepaalde verwerking en de verantwoordelijke besluit hierop geen maatregelen te nemen. De AVG schrijft in dat geval voor dat de FG de AP raadpleegt en de AP om advies vraagt.

De FG in de AVG

Wat u echt móet weten over de AVG

In dit document staan de belangrijkste aandachtspunten voor u op een rij.

  • Wanneer geldt de verplichting om een FG aan te stellen?
  • Wat houdt het recht op dataportabiliteit in?

En hoe dient een verplichte PIA uitgevoerd te worden? Lees hierin de praktische tips en nuttige informatie over de AVG. Ook kunt u meer lezen over de aanstelling van de Functionaris Gegevensbescherming (FG) en zijn/haar taken en bevoegdheden.

Download

Zoekt u nog een FG?

Heeft u nog geen Functionaris Gegevensbescherming voor uw organisatie aangesteld? De Privacy Officers van Cure4 kunnen flexibel ingezet worden als een Functionaris Gegevensbescherming in uw organisatie.

Onze Privacy Officers onderscheiden zich door de combinatie van hun juridische expertise en hun kennis van het zorgdomein. Wij bieden onze opdrachtgevers optimale en flexibele ondersteuning bij onder andere de implementatie van de AVG, bij een datalek of bij het uitvoeren van een P.I.A.

Wilt u meer weten over de inzet van onze functionarissen in uw organisatie? In een vrijblijvend gesprek kunnen we alle mogelijkheden bespreken

Neem contact op

©2018 Cure4 |

Werken bij Cure4 | Disclaimer | Privacy Statement | Over Cure4 | Aanmelden Nieuwsbrief
Contact