Met de invoering van de AVG zijn er ook voor onze organisatie een aantal voorwaarden waar wij gehoor aan moeten geven. Eén van de voorwaarden is het aanstellen van een FG, Functionaris voor de Gegevensbescherming. Dit geldt in het bijzonder voor organisaties die veel persoonsgegevens verwerken en scholen behoren tot deze categorie. Deze zogeheten FG is het verlengstuk van de Autoriteit Persoonsgegevens, binnen Singelland. Singelland heeft vanaf 1 januari 2025 Floor May aangesteld als Functionaris voor de Gegevensbescherming. Wat betekent dit? Dit betekent dat wij gezamenlijk gaan kijken hoe wij met elkaar als organisatie Singelland gaan voldoen aan de door de wet AVG gestelde eisen. In dit proces heeft iedereen zijn eigen rol. Op de AVG termen verklaard van de site IBP OSG Singelland kun je lezen wie wie is. Wil je meer weten over de FG lees dan verder.
Functionaris voor de Gegevensbescherming (FG)
Een Functionaris voor de Gegevensbescherming (hierna te noemen ‘’FG’’) is een persoon die door een organisatie is aangesteld om de veiligheid van het bedrijfsnetwerk en alle data te waarborgen. Deze persoon houdt onder andere toezicht op een correcte naleving van de Algemene Verordening Gegevensbescherming (AVG) en de daarmee gepaard gaande overige privacywetgeving.
Let op:
Het blijkt dat op een aantal plekken in de organisatie men al aan de gang is gegaan met maatregelen om aan de AVG eisen te voldoen. Het is verstandig om voordat je iets in gang zet eerst met mij te overleggen, omdat vaak blijkt dat oplossingen eenvoudiger kunnen zijn dan in eerste instantie gedacht.
Wie stelt een Functionaris voor de Gegevensbescherming aan?
De FG, is een persoon die door en namens de verwerkingsverantwoordelijke van de organisatie (of de verwerker) is aangesteld voor het opstellen, integreren, uitvoeren, handhaven en controleren van het privacy- en ICT-gebruiksbeleid. De bestuurder is namens de organisatie Singelland de verwerkingsverantwoordelijke. Een organisatie kan één FG benoemen, mits de FG vanuit elke vestiging makkelijk te contacteren is. De verwerkingsverantwoordelijke maakt de contactgegevens van de FG bekend en deelt die mee aan de toezichthoudende autoriteit, de Autoriteit Persoonsgegevens.
De FG is niet zelfstandig verantwoordelijk voor de verwerking van de persoonsgegevens, maar heeft wel een aantal afgeleide verplichtingen, voor onder meer beveiliging, geheimhouding van gegevens en de rapportage naar de verwerkingsverantwoordelijke.
Wat doet een Functionaris voor de Gegevensbescherming?
Een FG ziet toe op de correcte naleving van het geldende privacybeleid. Op die manier bevordert deze persoon dat persoonsgegevens zorgvuldig worden geregistreerd en gebruikt. Voorts heeft een FG een adviserende rol. Zo geeft een FG onder meer advies over de inrichting van technische en/of organisatorische veiligheidsmaatregelen. Daarnaast verkleint een FG het risico op compliance-problemen, cyberincidenten en datalekken veroorzaakt door ondoordacht menselijk handelen.
De FG heeft binnen een organisatie meerdere taken en verantwoordelijkheden zoals:
Het opstellen van een organisatorisch privacy en veiligheidsbeleid welke voldoet aan de wettelijke regels omtrent gegevensbescherming;
Het toezien op een correcte uitvoering en handhaving van een organisatorisch privacy en veiligheidsbeleid;
Het informeren en adviseren over de wettelijke verplichtingen omtrent gegevensbescherming;
Het verzamelen van inventarisaties van gegevensverwerkingen;
Het geven van advies ten aanzien van technische en organisatorische veiligheidsmaatregelen;
Het afhandelen van vragen en klachten van zowel mensen binnen de organisatie als daarbuiten;
Het fungeren als eerste aanspreekpunt bij een cyberincident met onder meer de toezichthoudende autoriteit (in Nederland de Autoriteit Persoonsgegevens);
Het samenwerken met de toezichthoudende autoriteit (in Nederland de Autoriteit Persoonsgegevens);
Advies verstrekken met betrekking tot de gegevensbeschermingseffectbeoordeling en toezien op de uitvoering daarvan;
Het zo nodig melden van datalekken;
Het verhogen van het bewustzijn rondom privacy bij de medewerkers;
Eisen
De FG dient een natuurlijk persoon te zijn. De FG kan een personeelslid van de verwerkingsverantwoordelijke zijn, of kan de taken op grond van een dienstverleningsovereenkomst verrichten. Voorts dient de FG in ieder geval op grond van zijn professionele kwaliteiten en in het bijzonder zijn deskundigheid op het gebied van gegevensbescherming te worden aangewezen.
Speciale bevoegdheden
Voor het goed kunnen uitoefenen van de taken en verantwoordelijkheden, moet de FG beschikken over speciale privileges en bevoegdheden. De verwerkingsverantwoordelijke dient er zodoende voor te zorgen dat de FG naar behoren en tijdig wordt betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens. Voorts dient de verwerkingsverantwoordelijke de FG te ondersteunen bij de vervulling van zijn taken door hem toegang te verschaffen tot persoonsgegevens en verwerkingsactiviteiten en door hem de benodigde middelen ter beschikking te stellen voor het vervullen van deze taken en het in standhouden van zijn deskundigheid. Het spreekt voor zich dat een dergelijk persoon van onbesproken gedrag moet zijn. De rol van FG is een strikt vertrouwelijke en derhalve met betrekking tot de uitvoering van zijn taken tot geheimhouding en vertrouwelijkheid gehouden.
Onafhankelijkheid
Om te borgen dat de FG in zijn of haar taken en verantwoordelijkheden onbelemmerd en onafhankelijk te werk kan gaan is het van cruciaal belang dat de FG zijn of haar taken met voldoende autonomie binnen een organisatie moet kunnen uitvoeren. Concreet betekent dit dat de verwerkingsverantwoordelijke erop toe zal moeten zien dat de FG geen instructies ontvangt met betrekking tot de uitvoering van zijn of haar taken. In het kader van onafhankelijkheid geldt dat de FG niet tevens diegene mag zijn die het doel en de middelen voor de gegevensverwerking vaststelt. Per organisatie dient beoordeeld te worden of bekeken worden of sprake is van een belangenconflict. In ieder geval zullen functies in het hogere management als functies met een belangenconflict worden beschouwd. Ook diegene die verantwoordelijk zijn voor de inrichting van gegevensverwerkingen binnen een organisatie zal geen FG kunnen zijn.
Beschermde status
Voor een wetmatige verwerking van persoonsgegevens is een overeenkomst tussen een ‘Functionaris voor de Gegevensbescherming’ en ‘verwerkingsverantwoordelijke’ een must. De FG mag geen (dreiging van) negatieve gevolgen ondervinden van de onafhankelijke uitvoering van zijn taak. Hij geniet om die reden dan ook ontslagbescherming (artikel 38 AVG/GDPR).
Ondersteuning en bereikbaarheid FG binnen Singelland
De FG (fg@singelland.nl) wordt binnen Singelland ondersteunt door een zogeheten Privacy Officer. Binnen Singelland is dit vanaf 1 januari 2025 Mark Kruit (privacy@singelland.nl)