De rol en taken van de Functionaris gegevensbescherming bij digitale autonomie

  • Blog

Digitale autonomie staat steeds hoger op de agenda van organisaties. In de digitale economie verwerken organisaties op grote schaal persoonsgegevens. Denk daarbij aan technologie en data die een centrale rol spelen in bijvoorbeeld cloudoplossingen, online platforms en datagedreven diensten. De recente brief van de Autoriteit Persoonsgegevens (AP) laat zien dat het verminderen van afhankelijkheid van IT-leveranciers buiten de Europese Economische Ruimte (EER) een belangrijk privacy- en organisatiethema is. Voor de Functionaris gegevensbescherming (FG) valt dit direct binnen zijn rol en taken. Vanuit zijn rol als onafhankelijk toezichthouder én adviseur bewaakt de FG de naleving van de AVG. Hij zorgt er ook voor dat privacyrisico’s tijdig worden gesignaleerd en besproken.

Denk bijvoorbeeld aan een organisatie die gebruikmaakt van een cloudplatform voor het opslaan van klantgegevens. Wanneer deze leverancier onder buitenlandse wetgeving valt, kan dit invloed hebben op de toegang tot die gegevens. Juist in zulke situaties wordt van de FG verwacht dat hij de privacyrisico’s inzichtelijk maakt. Daarna brengt hij het gesprek binnen de organisatie op gang.

 

Digitale autonomie en de FG

De rol en taken van de Functionaris gegevensbescherming draaien om toezicht, advisering en bewustwording. Digitale autonomie sluit daar naadloos op aan. Het gaat immers om controle over de persoonsgegevens, inzicht in datastromen en het beperken van risico’s.

In de praktijk betekent dit dat de FG niet langer alleen achteraf toetst, maar juist aan de voorkant betrokken is. Dit gebeurt bijvoorbeeld bij de keuze voor cloudleveranciers, het opstellen van contracten en het uitvoeren van risicoanalyses.

De FG helpt de organisatie om verder te kijken dan functionaliteit en kosten en brengt de privacy- en afhankelijkheidsrisico’s scherp in beeld.

 

IT-overeenkomsten beoordelen vanuit autonomie

Een belangrijke taak van de Functionaris gegevensbescherming is het adviseren over verwerkingen van persoonsgegevens. Daar horen ook IT-overeenkomsten bij. De AP benadrukt dat organisaties leveranciers niet alleen moeten beoordelen op techniek en prijs. Daarnaast moeten ze ook letten op hun gevoeligheid voor invloeden van buiten de EER. Dit vraagt van de FG dat hij kritische vragen stelt over opslaglocaties, toegang tot data en toepasselijke wetgeving.

Door deze aspecten structureel mee te nemen, versterkt de FG de positie van de organisatie en voorkomt hij dat risico’s pas zichtbaar worden wanneer het te laat is.

 

Meedenken over een exit-strategie

Een tweede belangrijk aandachtspunt binnen de rol en taken van de Functionaris gegevensbescherming is het waarborgen van continuïteit en controle.

De AP adviseert organisaties om vooraf na te denken over een exit-strategie bij IT-leveranciers. Voor de FG betekent dit dat hij de verwerkingsverantwoordelijke adviseert om te toetsen of daadwerkelijk kan worden overgestapt. Daarbij moet hij nagaan of persoonsgegevens niet verloren gaan of onbereikbaar worden.

Dit raakt aan thema’s zoals dataportabiliteit en interoperabiliteit. De FG hoeft dit niet technisch uit te werken, maar moet wel signaleren of deze aspecten voldoende zijn geregeld. Daarna moet hij de organisatie hierover adviseren.

 

DPIA’s verbreden met digitale autonomie

Een Data Protection Impact Assessment (DPIA) is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen en passende maatregelen te bepalen. DPIA’s zijn verplicht wanneer een verwerking waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van betrokkenen.

Het uitvoeren van DPIA’s ligt bij de organisatie zelf. De Functionaris gegevensbescherming houdt hierop toezicht en adviseert over de kwaliteit en volledigheid van de DPIA. Dit doet hij dus ook in relatie tot digitale autonomie.

Bij het herzien van DPIA’s is het belangrijk om ook afhankelijkheden van leveranciers en de beschikbaarheid van data mee te nemen. De FG kan hierbij richting geven door gerichte vragen te stellen, zoals wat er gebeurt bij uitval van systemen, hoe snel zijn gegevens weer beschikbaar en welke risico’s ontstaan wanneer toegang wordt beperkt.

Op deze manier draagt de FG eraan bij dat de DPIA wordt benut als een volwaardig instrument voor risicobeheersing.

 

Wanneer is een Functionaris gegevensbescherming verplicht?

Het aanstellen van een Functionaris gegevensbescherming zijn in sommige gevallen wettelijk verplicht. Volgens de AVG moet een FG worden aangesteld wanneer:

  • een organisatie een overheidsinstantie is;
  • er op grote schaal bijzondere persoonsgegevens worden verwerkt;
  • er sprake is van grootschalige en stelselmatige monitoring van personen.

Voor veel organisaties, zoals in de zorg en het onderwijs, is een FG daarom onmisbaar. Ook organisaties die niet verplicht zijn, kiezen er steeds vaker voor om een FG aan te stellen vanwege de toenemende complexiteit van privacy en digitale afhankelijkheid.

 

Van toezichthouder naar strategisch adviseur

De ontwikkeling richting digitale autonomie maakt duidelijk dat de rol van de FG verandert. De Functionaris gegevensbescherming is niet alleen een toezichthouder, maar steeds meer een strategisch adviseur.

Hij verbindt wetgeving aan praktijk, signaleert risico’s en helpt de organisatie om bewuste keuzes te maken. Daarbij speelt communicatie een belangrijke rol: complexe onderwerpen moeten begrijpelijk worden gemaakt voor bestuurders en andere stakeholders.

Wie deze rol goed invult, vergroot de impact van privacy binnen de organisatie en draagt direct bij aan betere besluitvorming.

Veelgestelde vragen

Wat doet een Functionaris Gegevensbescherming (FG)?

De Functionaris Gegevensbescherming (FG) houdt onafhankelijk toezicht op de naleving van de AVG binnen een organisatie. Daarnaast adviseert de FG over privacyvraagstukken, signaleert risico’s en ondersteunt bij het verbeteren van gegevensbescherming. De FG heeft een zelfstandige positie en rapporteert rechtstreeks aan het hoogste managementniveau.

Wanneer is een Functionaris Gegevensbescherming verplicht?

Een FG is verplicht wanneer een organisatie:

  • een overheidsinstantie is;

  • op grote schaal bijzondere persoonsgegevens verwerkt, zoals gezondheidsgegevens;

  • op grote schaal en structureel personen monitort, bijvoorbeeld via tracking of profilering.

Ook wanneer het niet verplicht is, kan het aanstellen van een FG verstandig zijn vanwege de complexiteit van privacywetgeving en risico’s.

Wat is het verschil tussen een FG en een Privacy Officer?

De FG heeft een wettelijk vastgelegde, onafhankelijke rol met toezichthoudende taken. Een Privacy Officer is meestal verantwoordelijk voor de praktische uitvoering van privacybeleid binnen de organisatie. De FG controleert en adviseert, terwijl de Privacy Officer vaak uitvoert.

Wat is digitale autonomie?

Digitale autonomie betekent dat een organisatie regie houdt over haar data, systemen en IT-leveranciers. Het gaat om inzicht in waar gegevens worden opgeslagen, wie toegang heeft en hoe afhankelijk de organisatie is van externe partijen, met name buiten de Europese Economische Ruimte (EER).

Wat is de rol van de FG bij digitale autonomie?

De FG adviseert over risico’s rondom afhankelijkheid van IT-leveranciers en gegevensverwerking. Hij brengt privacyrisico’s in kaart, stimuleert bewustwording en zorgt dat digitale autonomie wordt meegenomen in besluitvorming, zoals bij cloudgebruik en IT-contracten.

Wat is een DPIA en wanneer is deze verplicht?

Een Data Protection Impact Assessment (DPIA) is een analyse waarmee organisaties vooraf privacyrisico’s van een verwerking beoordelen. Een DPIA is verplicht wanneer een verwerking waarschijnlijk een hoog risico oplevert voor betrokkenen, bijvoorbeeld bij grootschalige verwerking van gevoelige gegevens.

Wat doet de FG bij een DPIA?

De FG voert geen DPIA uit, maar houdt toezicht en adviseert. De FG beoordeelt of de DPIA volledig en zorgvuldig is uitgevoerd en of de juiste maatregelen zijn genomen om risico’s te beperken.

Waarom is een exit-strategie belangrijk bij IT-leveranciers?

Een exit-strategie zorgt ervoor dat een organisatie kan overstappen naar een andere leverancier zonder dat gegevens verloren gaan of onbereikbaar worden. Dit is belangrijk voor continuïteit, compliance en het behoud van controle over persoonsgegevens.

Wat zijn de belangrijkste taken van de FG in de praktijk?

De belangrijkste taken van de Functionaris Gegevensbescherming zijn:

  • toezicht houden op naleving van de AVG;

  • adviseren over privacy en gegevensbescherming;

  • bewustwording creëren binnen de organisatie;

  • contact onderhouden met toezichthouders zoals de Autoriteit Persoonsgegevens.

Deel dit artikel via:

Gerelateerde artikelen

DPIA in de praktijk

Een Data Protection Impact Assessment (DPIA) wordt vaak uitgevoerd wanneer een organisatie een nieuw systeem introduceert, een digitale dienst implementeert of een nieuwe leverancier inschakelt

Lees meer

Menu