De Functionaris Gegevensbescherming (FG): Wanneer is die nou verplicht?

GDPR

In de nieuwe privacywetgeving die per 25 mei 2018 gehandhaafd wordt in de gehele Europese Gemeenschap is een belangrijke taak weggelegd voor de FG. Een FG is iemand die erop toeziet dat een organisatie op de juiste manier omgaat met de privacy-wetgeving. Het is echter voor veel bedrijven nog steeds onduidelijk of en wanneer een FG noodzakelijke of verplicht is.

FG benoemen

Allereerst moet gezegd worden dat het benoemen van een FG sowieso grote voordelen heeft. U beschikt dan over iemand die erop toeziet dat de privacywetgeving goed wordt toegepast en dat de benodigde informatie die beschikbaar moet zijn voor de Autoriteiten actueel wordt gehouden. Tevens adviseert de FG over risico’s en fungeert als aanspreekpunt voor de Autoriteit Persoonsgegevens.

Verplicht

Voor sommige bedrijven is het benoemen van een FG verplicht. De Autoriteit persoonsgegevens spreekt over de volgende drie situaties:

  1. Overheden en publieke organisaties.Ten eerste zijn overheidsinstanties en publieke organisaties altijd verplicht om een FG aan te stellen, ongeacht het type gegevens dat ze verwerken. Het kan gaan om de rijksoverheid, gemeenten en provincies, maar ook om bijvoorbeeld zorg- en onderwijsinstellingen. Voor rechtbanken geldt de verplichte aanstelling van een FG niet.
  2. Observatie.Ten tweede geldt de verplichting om een FG aan te stellen voor organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen. Het kan hierbij gaan om bijvoorbeeld profilering van mensen voor het maken van risico-inschattingen, cameratoezicht en monitoring van iemands gezondheid via wearables. Relevant hierbij zijn onder meer het aantal mensen dat een organisatie volgt, de hoeveelheid gegevens die deze organisatie verwerkt en hoe lang de organisatie mensen volgt. Gedacht kan worden aan verzekeringsmaatschappijen, ziekenhuizen, telefoonproviders, marketingbureaus, … etc.
  3. Bijzondere persoonsgegevens. Ten derde zijn organisaties verplicht een FG te benoemen als ze op grote schaal bijzondere persoonsgegevens verwerken en dit een kernactiviteit is. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden. Denk aan medische instellingen, een politieke partij, … etc.

RI&E-Privacy

Een inventarisatie van de gegevensverwerkingen is nodig om te kunnen beslissen of het aanstellen van een FG noodzakelijk is.

Sebyde is gespecialiseerd in het uitvoeren van deze inventarisaties. Met onze RI&E-Privacy helpen wij u bij de voorbereidingen op de AVG / GDPR en zorgen ervoor dat u klaar bent voor deze belangrijke nieuwe wetgeving.

Contact

Neem gerust contact op met Sebyde voor meer informatie: 085-2733376 of info@sebyde.nl

Op onze website kunt u ook meer informatie vinden over de Sebyde RI&E-Privacy:  https://www.sebyde.nl/rie-privacy/