Op grond van artikel 37 van de AVG is het aanstellen van een FG verplicht voor:
- Overheidsinstanties en publieke organisaties. Voor deze organisaties is dit altijd verplicht, ongeacht het type gegevens dat ze verwerken. Het kan gaan om de rijksoverheid, gemeenten en provincies, maar ook om bijvoorbeeld zorg- en onderwijsinstellingen. Voor rechtbanken geldt de verplichte aanstelling van een FG niet.
- Organisaties die vanuit hunkernactiviteitenopgrote schaalindividuen volgen of hun activiteiten in kaart brengen. Het kan hierbij gaan om bijvoorbeeldprofilering van mensenvoor het maken van risico-inschattingen, cameratoezicht, personeelsvolgsystemen en monitoring van iemands gezondheid via wearables. Relevant hierbij zijn onder meer het aantal mensen dat een organisatie volgt, de hoeveelheid gegevens die deze organisatie verwerkt en hoe lang de organisatie mensen volgt.
- Organisaties die op grote schaal bijzondere persoonsgegevensverwerken en waarvan dit eenkernactiviteit is. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid, ras/etniciteit, politieke opvatting of geloofsovertuiging.
- Organisaties die strafrechtelijke persoonsgegevensverwerken.
Daarnaast kunnen EU-lidstaten andere situaties benoemen waarin een FG verplicht is. Het is nog niet bekend of dit in Nederland gaat gebeuren.
Is onduidelijk of u als organisatie verplicht bent een FG aan te stellen? Dan moet u goed kunnen onderbouwen waarom u ervoor heeft gekozen om dat wel of niet te doen.
Een gezamenlijke FG
Het is mogelijk om één FG aan te stellen voor meerdere organisaties of organisatieonderdelen. Bijvoorbeeld voor:
- een groep organisaties;
- meerdere bedrijfsonderdelen binnen een concern;
- meerdere bestuursorganen binnen een gemeente, waterschap of provincie.
De voorwaarde voor een gezamenlijke FG is dat deze persoon goed bereikbaar is vanuit elke organisatie of elk organisatieonderdeel. En daadwerkelijk in staat is om de wettelijke taken van een FG in de praktijk uit te voeren.
U moet er in deze situatie extra goed voor zorgen dat de contactgegevens van de FG breed beschikbaar zijn. Betrokkenenen toezichthouders moeten eenvoudig en direct met de FG kunnen communiceren.
Wilt u een gezamenlijke FG aanstellen, dan doet uéén aanmelding bij de AP. U hoeft dus niet meerdere aanmeldformulieren in te vullen voor elke organisatie of elk organisatieonderdeel waarvoor u een FG wilt aanmelden.
Het moet wel duidelijk zijn voor welke organisaties of organisatieonderdelen u de FG aanmeldt. Dit kunt u aangeven in het toelichtingenveld in het aanmeldformulier.
FG moet goed en onafhankelijk kunnen werken
In artikel 38 van de AVG is vastgelegd dat een FG voldoende middelen nodig heeft om taken te kunnen uitvoeren. De FG moet toegang hebben tot de persoonsgegevens en de verwerkingen van de gegevens in de organisatie. Daarnaast moet de FG het eigenkennisniveau op peil kunnen houden.
Concreet heeft de FG onder meer het volgende nodig om de functie in te vullen:
- actieve steun vanuit het management;
- voldoende tijd om de taken uit te voeren;
- voldoende praktische ondersteuning (budget, faciliteiten en personeel);
- heldere communicatie aan al het personeel over de benoeming van de FG;
- scholing.
In de AVG zijn daarnaast verschillende waarborgen opgenomen die FG’s helpen om onafhankelijk hun werk te kunnen doen.
- U mag de FG geen instructies geven hoe deze de FG-taken moet uitvoeren.
- U mag de FG niet ontslaan of een sanctie geven als gevolg van de uitoefening van FG-taken.
- Er mag geen belangenverstrengeling zijn tussen de FG-taken en de eventuele andere taken of functies van de FG. Dit betekent dat de FG binnen uw organisatie niet ook een functie mag hebben waarin deze het doel en de middelen van een gegevensverwerking bepaalt. Zoals bij een managementpositie alshoofd financiën, strategie, marketing, IT,HRM of als‘chief information security officer’ (CISO).
- De FG moet zonder tussenkomst van anderen in uw organisatie toegang hebben tot de hoogste bestuurders (deverwerkingsverantwoordelijke in de zin van de wet) om adviezen te kunnen geven.
Bereikbaarheid FG
Het moet voor mensen makkelijk zijn om contact op te nemen met de FG zonder dat daar iemand tussen zit. Uw website is daar een makkelijk middel voor, maar het mag ook op een andere manier. U bent niet verplicht om de naam van de FG te vermelden. Een telefoonnummer of e-mailadres waarmee de FG te bereiken is, is genoeg.
Niet verplicht, toch een FG
U kunt als organisatie ook een FG aanstellen als dit niet verplicht is. Het kan zelfs heel nuttig zijn om iemand aan te nemen of in te huren die gespecialiseerd is in de bescherming van persoonsgegevens. Vrijwillig eenFG aanstellen is vooralaan te radenals u een bedrijf bent met overheidstaken, zoals een ov-bedrijf, energiebedrijf of woningcorporatie.
Voor een niet-verplichte FG gelden dezelfde regels als voor de verplichte FG zodra u deze medewerker aanduidt als 'functionaris gegevensbescherming'. Onder meer als het gaat om de professionaliteit en het takenpakket van de FG (zie hiervoor artikelen 37, 38 en 39 van de AVG). U moet een vrijwillig aangestelde FG ookaanmelden bij de AP.
Let op: Er kan verwarring ontstaat wanneer een vrijwillig aangestelde medewerker zich FG noemt, terwijl u niet van plan bent aan deze medewerker dezelfde eisen te stellen. U kunt deze persoon dan bijvoorbeeld beter 'privacy officer' noemen.
Bent u niet verplicht om een FG aan te wijzen? Maar wilt u wel advies over gegevensbescherming? Dan kunt u in plaats van een FG ook een werknemer in dienst nemen of een adviseur inhuren die zich met de bescherming van persoonsgegevens bezighoudt.
Heeft deze persoon een andere functienaam, positie en takenpakket dan een FG? Dan gelden de wettelijke regels voor de FG niet. Het is dan wel belangrijk dat u duidelijk maakt - zowel binnen als buiten uw organisatie - dat deze persoon geen FG in de zin van de wet is.
In de AVG vindt u meer informatie in artikel 37, 38, 39.
