Is een Functionaris gegevensbescherming verplicht voor jouw organisatie? Dit zijn de regels en uitzonderingen

Functionaris gegevensbescherming

Organisaties verwerken dagelijks grote hoeveelheden persoonsgegevens. Die gegevens zijn vaak ook gevoelig en moeten die dus goed beschermd worden. De AVG stelt daarom duidelijke eisen aan organisaties. Eén van die eisen is het aanstellen van een Functionaris Gegevensbescherming (FG). In sommige gevallen is dit zelfs wettelijk verplicht. De FG speelt een belangrijke rol in het bewaken van de privacyregels binnen een organisatie. Deze blog geeft inzicht in de situaties waarin een FG verplicht is, wat deze precies doet en waar organisaties rekening mee moeten houden. Een goed begrip van deze rol voorkomt problemen en helpt bij het maken van verantwoorde keuzes.

Wanneer is een Functionaris gegevensbescherming verplicht?

In de AVG staan situaties waarin een Functionaris gegevensbescherming (FG) verplicht is. Deze verplichting geldt niet voor elke organisatie, maar wel in specifieke gevallen.

 

  1. Overheidsinstanties en publieke organisaties

Voor alle overheidsorganisaties geldt een verplichting om een FG aan te stellen. Het maakt niet uit welke gegevens worden verwerkt. Voorbeelden:

  • ministeries en uitvoeringsinstanties;
  • gemeenten en provincies;
  • zorg- en onderwijsinstellingen.

Let op: Rechtbanken zijn uitgezonderd van deze verplichting.

 

  1. Grootschalige monitoring of het volgen van personen

Organisaties die mensen structureel volgen, moeten een FG aanstellen. Denk aan:

  • cameratoezicht in gebouwen of op straat;
  • systemen die personeel volgen via apps of gps;
  • profiling van klanten voor risicoanalyses;
  • tracking van gezondheid via wearables.

Factoren zoals het aantal betrokkenen, de hoeveelheid data en de duur van de verwerking spelen hierbij een rol.

 

  1. Verwerking van bijzondere persoonsgegevens op grote schaal

Bijzondere gegevens moeten extra beschermd worden. Voorbeelden:

  • medische gegevens;
  • ras of etnische afkomst;
  • geloofsovertuiging of politieke voorkeur;
  • biometrische gegevens zoals vingerafdrukken.

Wanneer dit structureel gebeurt, ontstaat er een verplichting voor een Functionaris gegevensbescherming.

 

  1. Strafrechtelijke persoonsgegevens

Je bent ook verplicht een FG aan te stellen als je strafrechtelijke gegevens verwerkt. Organisaties moeten deze gegevens zorgvuldig beveiligen en voortdurend controleren op risico’s.

 

Twijfel je over de verplichting?

Heb je twijfels of je een FG moet aanstellen? Dan moet je als organisatie de gemaakte keuze goed onderbouwen. Zorg voor een duidelijke motivering. Deze onderbouwing voorkomt problemen bij een controle door de Autoriteit Persoonsgegevens.

 

Eén Functionaris gegevensbescherming voor meerdere organisaties

Een gezamenlijke FG is toegestaan, mits aan voorwaarden wordt voldaan. Voorbeelden:

  • binnen een groep organisaties;
  • bij meerdere bedrijfsonderdelen;
  • tussen bestuursorganen binnen een gemeente of provincie.

De FG moet bereikbaar zijn voor alle betrokken onderdelen. Vermeld de contactgegevens duidelijk, bijvoorbeeld op een website of intranet.

Belangrijk: elke organisatie meldt de FG afzonderlijk aan bij de Autoriteit Persoonsgegevens.

 

Wat doet een Functionaris gegevensbescherming?

De FG houdt toezicht op naleving van de AVG. Hiervoor is brede kennis en ervaring nodig. Belangrijke elementen zijn:

  • wetgeving over privacy op nationaal en Europees niveau;
  • inzicht in de verwerkingen binnen de organisatie;
  • kennis van informatiebeveiliging en IT;
  • ervaring met de sector waarin de organisatie actief is.

De FG adviseert, beoordeelt en signaleert risico’s. Daarnaast stimuleert deze persoon bewustwording binnen de organisatie.

 

Geen verantwoordelijkheid voor het verwerkingsregister

Het opstellen van een verwerkingsregister valt niet onder de verantwoordelijkheid van de FG. Wel controleert de FG of dit register aanwezig en actueel is. In de praktijk houdt een FG vaak een lijst bij, vooral bij verwerkingen met hoog risico.

 

Betrokkenheid bij DPIA’s

Organisaties moeten soms een gegevensbeschermingseffectbeoordeling (DPIA) uitvoeren. Hierbij is advies van de Functionaris gegevensbescherming verplicht. De FG geeft advies over:

  • de noodzaak van de DPIA;
  • de geschikte onderzoeksmethode;
  • interne uitvoering of uitbesteding;
  • passende beschermingsmaatregelen;
  • juridische toelaatbaarheid van de uitkomsten.

Het rapport moet dit advies bevatten, samen met de gekozen vervolgstappen.

 

Onafhankelijke positie is vereist

De FG werkt onafhankelijk. De AVG biedt waarborgen om deze onafhankelijkheid te garanderen:

  • geen instructies over uitvoering van de taken van de FG;
  • geen ontslag of sanctie vanwege het werk als FG;
  • geen dubbele functie met belangenverstrengeling;
  • directe toegang tot het hoogste bestuursniveau.

Ondersteuning is noodzakelijk: tijd, budget, personeel en scholing. Zonder deze middelen lukt het niet om de rol goed te vervullen.

 

Bereikbaarheid van de Functionaris gegevensbescherming

De FG moet makkelijk bereikbaar zijn. Een e-mailadres of telefoonnummer is voldoende. Vermelding op de website is ook wenselijk. De naam van de FG hoeft niet openbaar te zijn.

 

Twijfel je of jouw organisatie verplicht is een Functionaris Gegevensbescherming aan te stellen?

De regels zijn streng, de risico’s zijn groot. Voorkom boetes en reputatieschade door zekerheid te krijgen. Met onze FG-as-a-Service ben je verzekerd van een deskundige en onafhankelijke FG die jouw organisatie helpt voldoen aan de AVG.

  • Snel duidelijkheid over jouw verplichtingen;
  • Beschikking over ervaren FG;
  • Flexibele en schaalbare oplossing voor jouw organisatie.

👉 Vraag vandaag nog een vrijblijvend adviesgesprek aan en ontdek wat wij voor jouw organisatie kunnen betekenen.

Deel dit artikel via:

Gerelateerde artikelen

Menu