Het is op 25 mei 2023 vijf jaar geleden dat de Algemene Verordening Gegevensbescherming (AVG) in werking trad. In een vijfdelige reeks lichten we een aantal onderwerpen toe die ons in deze periode zijn opgevallen. Hieronder bespreken we de functies van Functionaris Gegevensbescherming en Privacy Officer.
Beleid op gegevensbescherming
De AVG vereist dat passende technische en organisatorische maatregelen worden genomen om te waarborgen (en aan te kunnen tonen) dat persoonsgegevens conform de AVG worden verwerkt. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd. Dat betekent dat er een passend gegevensbeschermingsbeleid moet zijn en dat toezicht moet worden gehouden op naleving daarvan.
Onmisbaar
De Functionaris Gegevensbescherming (FG) en de Privacy Officer (PO) zijn daarom voor veel bedrijven onmisbaar. Waar de functie van FG voor sommige bedrijven verplicht vervuld moet worden, is de PO niet een verplichte, maar wel een belangrijke functie. De functies van FG en PO worden vaak door elkaar gehaald. De overlap: beide functies focussen zich op privacy en persoonsgegevens en zijn nodig om invulling te kunnen geven aan bovengenoemde eisen uit (artikel 24) van de AVG.
Onafhankelijk
De functie van FG is een onafhankelijke; om deze reden mag de functie niet zomaar door iemand in het bedrijf vervuld worden. De organisatie is verantwoordelijk voor het opstellen en uitvoeren van het privacybeleid. De FG ziet toe op de naleving hiervan en brengt advies uit over de risico’s van bestaande verwerkingen en voorgenomen nieuwe producten en diensten.
Als gevolg hiervan maken veel bedrijven de keuze om een externe FG in te schakelen. Bij een PO ligt dat anders: deze is zelf betrokken bij het opstellen en uitvoeren van het privacybeleid. De PO-werkzaamheden kunnen ook extern belegd worden.
Dit doet een FG
Een FG is verplicht voor overheidsinstanties/-organen, voor organisaties waar men hoofdzakelijk belast is met verwerkingen die regelmatige en stelselmatige observatie op grote schaal vereisen, en organisaties waar grootschalig bijzondere persoonsgegevens verwerkt worden. Ook wanneer het instellen van een FG niet verplicht is, is het in veel gevallen wel verstandig.
Enkele uitgangspunten uitgelicht:
- Een FG kijkt als onafhankelijke naar de omgang met persoonsgegevens, en maakt keuzes: bijvoorbeeld of een bepaalde verwerking wel of toegestaan is en of een incident wel of niet gemeld hoeft te worden aan een gegevensbeschermingsautoriteit. De organisatie moet de FG daarom in een vroeg stadium betrekken bij de (door)ontwikkeling van producten en diensten zodat deze tijdig kan beoordelen of bijvoorbeeld een data impact assessment nodig is
- De FG moet goed zichtbaar zijn binnen de organisatie en zonder tussenkomst van anderen benaderbaar zijn.
- De FG grijpt in als deze risico’s signaleert bij (voorgenomen) verwerkingen en rapporteert direct aan de directie. De organisatie moet deze onafhankelijke positie van de FG waarborgen.
- De FG is contactpersoon voor de AP en moet op de hoogte zijn van de communicatie van de AP met de organisatie
Dit doet een PO
Een PO behartigt de privacybelangen van de organisatie. Een PO is niet onafhankelijk, maar gaat uit van de belangen van de organisatie. Een PO houdt zich bezig met het intern adviseren over privacy-gerelateerde zaken, het vergroten van bewustzijn en het toezichthouden op de omgang met persoonsgegevens. Een PO houdt zich meer bezig met de daadwerkelijke implementatie van de AVG, bijvoorbeeld via het opzetten van een privacybeleid, en erop toezien dat deze nageleefd wordt.
Wat kan BDO betekenen?
Vanuit het Tech & Privacy Law Team bieden wij FG-diensten en PO-diensten aan organisaties. Heeft uw organisatie geen FG, en is dit wel verplicht? Of is er in uw organisatie behoefte aan een PO? Neem dan contact op met een van onze specialisten.
Breed perspectief
BDO heeft een Engelstalige update geschreven over de Europese richtlijnen en regels rondom dit onderwerp. Wat onze internationale collega’s geleerd hebben en denken, leest u via onderstaande button.