Voor ondernemingen en organisatie is het hanteren van de verplichtingen vanuit de AVG een belangrijk punt. Om hier op de juiste manier invulling aan te geven zijn bepaalde organisaties en bedrijven verplicht om een functionaris gegevensbescherming aan te stellen. Binnen een onderneming of organisatie is deze functionaris belast met de naleving van de verplichtingen vanuit de AVG (Algemene Verordening Gegevensbescherming). De verplichting tot het aanstellen van een functionaris gegevensbescherming, ook wel een data protection officer of data privacy officer genoemd geldt sinds de inwerkingtreding op 25 mei 2018.
Wat doet een functionaris gegevensbescherming?
De functionaris gegevensbescherming heeft een grote verantwoordelijkheid. In deze functie zorgt hij of zij voor de juiste naleving van de verplichtingen die voortvloeien uit de AVG. Naast een gedegen kennis met betrekking tot de actuele wet- en regelgeving inzake de bescherming van persoonsgegevens, is er sprake van een ruim opgezet takenpakket. Hierbij valt te denken aan de volgende specifieke taken:
- Het toepassen van de regelgeving, zoals vervat in de AVG, in de praktijk van een onderneming of organisatie, op een manier zodat de dagelijkse processen, systemen en diensten conform de geldende wetgeving worden uitgevoerd.
- Het (privacy) beleid en de gebruikte protocollen op het gebied van gegevensverwerking van de organisatie monitoren, ontwikkelen en waar nodig updaten. Dit geldt ook voor het signaleren en rapporteren van datalekken.
- Het doen van aanbevelingen op basis van de geldende vereisten die voortvloeien uit de AVG. Ook het opstellen van gedragscodes en deze intern communiceren naar de directe collegae valt hieronder.
- Toezien op de juiste implementatie en naleving van het privacybeleid.
- Het in beeld brengen van alle zaken die te maken hebben met de verwerking van persoonsgegevens en het privacyvraagstuk. Dit heeft zowel betrekking op de gegevens van klanten als de medewerkers.
- Het op orde brengen van alle relevante documentatie en communicatie zoals eventuele verwerkersovereenkomsten en andere contracten.
- Uitvoering en organisatie van de PIA (Privacy Impact Assessments). Dit geldt ook voor andere audits en het onderhouden van een PIA-register.
- Draagvlak realiseren en de bewustwording onder medewerkers stimuleren om de richtlijnen van de AVG te hanteren. Het coachen en motiveren van de medewerkers is hier een onderdeel van.
- Het signaleren, documenteren en rapporteren van datalekken. Deze moeten worden gemeld bij de AP (Autoriteit Persoonsgegevens). Tevens dient de functionaris hier (intern) opvolging aan te geven.
- Het up-to-date houden van de kennis omtrent de AVG door ontwikkelingen op de voet te volgen op het gebied van de bescherming van persoonsgegevens. Dit heeft zowel betrekking op eventuele wijzigingen en aanpassingen in de privacywetgeving alsmede het bijhouden van jurisprudentie op dit gebied.
- Regelmatig overleggen met en rapporteren aan het management ten aanzien van het geldende beleid inzake de bescherming persoonsgegevens.
De exacte manier waarop invulling wordt gegeven aan de functie kan per situatie verschillen. Dit heeft ook betrekking op de mate van verantwoordelijkheid van de aangestelde functionaris. Zo kan de mate van verantwoordelijkheid anders worden ingericht bij een zorginstelling dan bij een financiële instelling.
Wanneer is een functionaris gegevensbescherming verplicht?
In de per 25 mei 2018 geldende Algemene verordening gegevensbescherming (AVG certificaat) is de verplichting tot het aanstellen van een functionaris gegevensbescherming (FG) opgenomen. Organisaties kunnen daarom in bepaalde situaties verplicht zijn hier gevolg aan te geven. De exacte formulering is na te lezen in artikel 37 van de AVG. Hierin wordt duidelijk kenbaar gemaakt in welke drie situaties de aanstelling van een FG verplicht is.
1. Overheden en publieke organisaties
Overheidsinstanties en publieke organisaties zijn ten alle tijden verplicht om een FG aan te stellen. Hierbij is niet de aard van de persoonsgegevens die worden verwerkt bepalend. Dit heeft daarom betrekking op een breed aantal organisaties zoals de rijksoverheid, maar lagere overheden zoals gemeenten en provincies. Deze verplichting geldt ook voor andere overheidsorganisaties zoals onderwijsinstellingen. De enige feitelijke uitzondering op de regel zijn de rechtbanken. Zij zijn vrijgesteld van de verplichting tot het aanstellen van een functionaris persoonsgegevens.
2. Observatie
De tweede groep organisaties die verplicht zijn om een FG aan te stellen zijn organisaties waarbij de kernactiviteit bestaat uit het op grote schaal volgen van individuen. Denk hierbij aan organisaties die zich bezig houden met het maken van profileringen ten behoeve van een risico-analyse. Ook organisaties die zich op grote schaal bezig houden met cameratoezicht en het monitoren van individuen door middel van zogenaamde wearables vallen hieronder. Hieronder vallen bijvoorbeeld beveiligingsbedrijven die zijn belast met het cameratoezicht in een winkelcentrum.
3. Bijzondere persoonsgegevens
Ten derde gaat het om organisaties die op grote schaal bijzondere persoonsgegevens verwerken. De aanvullende voorwaarde is dat er geen sprake is van het verwerken van persoonsgegevens als kernactiviteit. Onder bijzondere persoonsgegevens vallen zaken als gezondheid, culturele afkomst, politieke kleur, religieuze overtuiging of een eventueel strafblad.
bron vacatures
Heeft u interesse in ISO2HANDLE? Vraag dan een gratis demo aan!
[addtoany]