Functionaris Gegevensbescherming

Sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming definitief in werking gesteld voor alle EU lidstaten. Hiermee is de Wet Bescherming Persoonsgegevens komen te vervallen.

Het is nu dan ook verplicht voor grote organisaties, overheids- en onderwijsinstellingen en voor instellingen binnen de gezondheidszorg een Functionaris Gegevensbescherming (FG) te hebben. Deze FG ziet erop toe dat de organisatie op een vertrouwelijke manier omgaat met de persoonsgegevens waarvoor zij verantwoordelijk is. De Functionaris Gegevensbescherming heeft, als interne toezichthouder, een onafhankelijke rol en wordt derhalve ook ingeschreven in het register bij de Autoriteit Persoonsgegevens. De FG dient dus in alle onafhankelijkheid zijn werkzaamheden te kunnen uitvoeren en ontvangt daarbij geen instructies vanuit de organisatie en verwerkers. De positionering van de FG binnen de organisatie is veelal zo ingericht dat deze direct rapporteert aan de directie of college van B&W (bestuurders en wethouders).

Taken van de Functionaris Gegevensbescherming

De FG moet betrokken worden bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens. Dat betekent dat de FG zich tenminste bezig moet houden met:

  • Het informeren en adviseren van de organisatie als verwerkingsverantwoordelijke en de verwerkers over hun verplichtingen uit hoofde van de AVG en andere EU wet- en regelgeving en nationale bepalingen omtrent gegevensbescherming (bijvoorbeeld het opstellen van een verwerkingsregister, opstellen en coördineren van verwerkersovereenkomsten, opstellen en implementeren procedure Meldplicht datalekken)
  • Het toezien op naleving daarvan
  • Het toezien op naleving van het organisatiebrede privacybeleid, alsmede dat van de verwerker met betrekking tot de bescherming van persoonsgegevens
  • Het toezien op de toewijzing van verantwoordelijkheden en op het creëren van bewustzijn van de medewerkers voor de omgang met persoonsgegevens
  • Het geven van advies over en het toezien op de uitvoering van de eventuele Privacy Impact Assessments
  • Samenwerking met en optreden als contactpersonen voor de Autoriteit Persoonsgegevens als externe toezichthouder

Ondersteuning bij de werkzaamheden van de FG

Als de organisatie wil nagaan of zij voldoet aan de wettelijke regels voor de bescherming van persoonsgegevens, dan kan de organisatie een compliance check of audit (laten) uitvoeren. Het is goed denkbaar dat de intern belanghebbende en de FG elkaar daarbij ondersteunen.

Afhankelijk van de aard van de persoonsgegevens waar de FG zich op concentreert, moeten ook anderen de FG in zijn werkzaamheden ondersteunen. Wanneer het bijvoorbeeld personeelsgegevens betreft, kan de personeelsmanager een aangewezen gesprekspartner zijn.

De FG dient in onafhankelijkheid zijn werkzaamheden te kunnen verrichten en kan niet worden belemmerd in zijn mogelijkheden tot onderzoek. De adviezen die de FG als resultaat van dit onderzoek uitbrengt, zijn echter niet bindend, maar wel ‘zwaarwegend’. De FG heeft dezelfde ontslagbescherming als leden van een ondernemingsraad. Dit betekent dat hij pas kan worden ontslagen na toestemming van de kantonrechter.

Een FG moet toezicht op de AVG organiseren door te analyseren en controleren in hoeverre verwerkingen van persoonsgegevens aan de AVG voldoen. Hij adviseert de verwerkersverantwoordelijke of de verwerker en geeft aanbevelingen.

Privacy en inbreuk 

Persoonsgegevens moeten ter zake dienend zijn en een duidelijk verzameldoel voor de organisatie hebben.  Persoonsgegevens moeten zorgvuldig, beveiligd, transparant en vertrouwelijk worden behandeld in het verzamelen, bewaren, beheren en gebruiken ervan. Personen die hun persoonsgegevens en andere informatie uit handen hebben gegeven moeten daarop kunnen vertrouwen.

Als bijvoorbeeld klanten niet het vertrouwen hebben dat er zorgvuldig met hun persoonsgegevens wordt omgegaan, kan de organisatie reputatieschade oplopen als bekend wordt dat er mogelijk persoonsgegevens onzorgvuldig zijn verwerkt.

Een inbreuk op deze privacy zou kunnen leiden tot een datalek en dat kan zowel persoonsgegevens van derden of van eigen personeel betreffen. In het ergste geval kunnen de persoonsgegevens, na een datalek, worden gebruikt voor identiteitsfraude. Een FG zal in overeenstemming met de privacy wetgeving handelen en indien deze inbreuken meldplichtig zijn, wordt een melding gedaan bij de Autoriteit Persoonsgegevens. Om in de toekomst verscherpt toezicht te organiseren, bestuurlijke boetes of rechtszaken te voorkomen, wordt daarom een FG geadviseerd.

Hoe kunnen wij u helpen?

Momenteel fungeert een aantal van onze consultants als Functionaris Gegevensbescherming bij onze opdrachtgevers die bovenstaande activiteiten uitvoeren. Dit zijn niet per sé full-time functies. Bij sommige klanten is onze FG 16 uur per week aanwezig om de organisatie te ondersteunen in het voldoen aan de AVG.

Wij merken dat organisaties nog veel vragen hebben ten aanzien van de bescherming van hun persoonsgegevens en over de AVG. Zijn mijn data voldoende beschermd? Voldoe ik aan de AVG wanneer ik een FG aanstel? Wat moet ik precies vastleggen wat betreft mijn persoonsgegevens en de beveiliging daarvan?

Wij bieden de FG als een dienst aan, zodat u altijd verzekerd bent van een FG. Dat betekent dat u ook in tijden van vakantie altijd een FG tot uw beschikking heeft.

Is uw organisatie al gereed om te voldoen aan de AVG? Heeft u er al bij stil gestaan of er iemand geschikt is voor deze belangrijke functie binnen de organisatie?

Strict Cyber Security

 

Strict is een veel gekozen partner voor het antwoord op deze vragen en ziet een toenemende vraag aan dienstverlening op het gebied van cyber security en privacy vraagstukken. Het Cyber Security-team heeft vanuit Strict een leidende rol om haar klanten hierin te voorzien.

Met een team van professionele FG’s, Privacy specialisten en Privacy Officers helpen wij organisaties bij de planning en uitvoering van een geïntegreerde securityaanpak om de informatie in netwerken optimaal te beveiligen, zodanig dat de organisaties ook voldoen aan de geldende regulering. Daarbij zorgen we ook  voor awareness op de werkvloer. Wij verzorgen desgewenst  workshops  om te zorgen dat medewerkers privacy ook echt  tussen de oren krijgen.

Organisaties, waaronder ook gemeenten, moeten tegenwoordig kunnen aantonen dat zij alles volgens de privacywetgeving hebben uitgevoerd. Dit leidt tot veel vragen.

Strict Cyber Security is niet uw gebruikelijke IT-Security consultant. Bij Strict draait het niet om dikke rapporten met adviezen, maar juist om wat daarna komt. Strict helpt haar klanten ook het uitgebrachte advies te implementeren en uit te voeren.  Wij kunnen zowel het gehele proces voor u uit handen nemen, of u de nodige advies en begeleiding bieden. Maak het uzelf makkelijk en voorkom hoge boetes voor het niet naleven van de AVG!

Ja, ik wil graag meer informatie over de Functionaris Gegevensbescherming van Strict

E-mails*

Privacy Verklaring*

Of bel nu: 088 55 55 800