Functionaris gegevensbescherming als een Service

Per 25 mei 2018 geldt de Algemene verordening gegevensbescherming. Vanaf dit moment kunnen organisaties verplicht zijn een functionaris voor de gegevensbescherming aan te stellen. Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG.

Wanneer dient een FG verplicht aangesteld te worden:

- Voor overheden en publieke organisaties
Ten eerste zijn overheidsinstanties en publieke organisaties altijd verplicht om een FG aan te stellen, ongeacht het type gegevens dat ze verwerken. Het kan gaan om de rijksoverheid, gemeenten en provincies, maar ook om bijvoorbeeld zorg- en onderwijsinstellingen. Voor rechtbanken geldt de verplichte aanstelling van een FG niet.
- Bij verwerking van bijzondere persoonsgegevens
Als uw organisatie  op grote schaal bijzondere persoonsgegevens verwerkt en dit een kernactiviteit is. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden.
Enkele voordelen van een ingehuurde specialist:
• Kosteneffectiviteit, omdat de functie van FG meestal geen fulltime baan is en extern met een bij de organisatie passende inzet ingehuurd kan worden;
• De benodigde expertise is specialistisch en breed, met een ingehuurde FG is continuïteit en actualiteit van benodigde kennis gegarandeerd;
• De beschikbare kennis is breder omdat de FG dagelijks bezig is met gegevensbescherming in verschillende werkomgevingen, maar ook kennis opdoet vanuit vakverenigingen (IAPP, WP29, Norea, PvIB);
• De FG heeft als extern persoon geen enkel persoonlijk belang bij politieke gevoeligheden binnen de organisatie en kan daardoor een meer onafhankelijke rol innemen.

Aanstellen van een FG

Een organisatie kan een FG aanstellen d.m.v. een dienstverleningsovereenkomst. De organisatie moet de FG vervolgens aanmelden bij de AP, pas dan kan de FG formeel aan de slag (de FG kan zelf ondersteunen bij de aanmelding). Voor 25 mei 2018 publiceerde de Autoriteit Persoonsgegevens de primair aangestelde FG per organisatie in een register. Het register bestaat nog wel, maar is niet meer up-to-date. Nu dient de organisatie zelf de aangestelde FG bekend te maken via de eigen website van de organisatie.
 
De wet stelt de volgende eisen aan een FG
• Een FG moet een natuurlijk persoon zijn (mag dus geen commissie, OR of bedrijf zijn);
• Een FG moet voldoende kennis hebben van de organisatie, van informatiebeveiliging en van de privacywetgeving;
• Een FG moet betrouwbaar zijn, dit uit zich onder meer in een geheimhoudingsplicht.
 
Bevoegdheden van een FG
Een FG heeft geen formele sanctiebevoegdheden. Maar de organisatie is wel wettelijk verplicht om de FG controlebevoegdheden te geven. Zo moet een FG bevoegd zijn om ruimtes te betreden, zaken te onderzoeken en inlichtingen en inzage te vragen. De FG moet in onafhankelijkheid zijn werkzaamheden kunnen verrichten binnen een organisatie.
 
Takenpakket van een FG
De belangrijkste taken van een FG zijn:
• Informeren en adviseren over de wettelijke verplichtingen bij het verwerken van persoonsgegevens en toezien op naleving ervan;
• Toezien op een adequate beveiliging van gegevens en adviseren over betrouwbare ICT (privacy by design);
• Organiseren van een (verplichte) Data Protection Impact Assessment (DPIA) vóór het starten met nieuwe verwerkingen van persoonsgegevens, waarbij mogelijke risico’s voor de privacy van betrokkenen worden geïnventariseerd. NB: voor Nederland is de formele juridische term hiervoor een Gegevensbeschermingseffectbeoordeling (GEB);
• Als aanspreekpunt fungeren voor privacy vragen, zowel intern voor de organisatie zelf als extern voor de betrokkenen waarvan persoonsgegevens verwerkt worden;
• Samenwerken met de Autoriteit Persoonsgegevens (AP).
• Functioneren als (eerste) aanspreekpunt en sparringpartner voor de AP.
 
Inzet is maatwerk
Het ‘privacyprofiel’ van een organisatie bepaalt in grote mate de benodigde inzet van een FG. Dat ‘privacyprofiel’ wordt bepaald door omvang en dynamiek van de organisatie, in combinatie met het aantal verwerkingsprocessen van persoonsgegevens en de risico’s die daarbij spelen. De benodigde inzet moet daarom altijd per organisatie specifiek ingeschat en afgesproken worden. 
 
Opstartfase
Als de FG van start gaat zal hij beginnen met het aanleggen van een (verplicht) register waar alle verwerkingen van persoonsgegevens van de organisatie in vermeld worden. Vervolgens wordt per verwerking bekeken of deze conform wettelijke eisen is ingevuld en worden eventueel aanbevelingen gedaan voor verbeteringen. Deze opstartfase zal tijdelijk wat meer inzet van de FG vragen. Na de opstartfase valt de inzet terug naar een vaste basis, met daarbij eventueel extra inzet als wijzigingen of omstandigheden daarom vragen. 
 
Inhuurmodel van Privaty
Privaty biedt haar ‘FG-as-a-service’-dienst aan met een dienstverleningsovereenkomst die gebaseerd is op een combinatie van fixed inzet en fixed bedrag per maand, met daarbij nacalculatie van eventueel extra benodigde inzet boven de verwachte standaard inzet. Om de toezichthoudende rol van FG in te kunnen vullen zal er altijd minimaal één werkdag per maand aanwezigheid op locatie van de organisatie nodig zijn. Deze dag zit daarom in elk geval in de fixed inzet per maand begrepen. Alle werkzaamheden die niet binnen de basisinzet vallen worden in overleg uitgevoerd en op basis van nacalculatie doorbelast. Eventuele ad hoc vragen of problemen kunnen altijd tussen reguliere afspraken door per mail of telefoon voorgelegd worden aan de FG.
 
Hierbij voeren wij als FG de volgende taken uit:
1. Bestuurders, directie en de werknemers die persoonsgegevens gebruiken, informeren en adviseren over hun verplichtingen ten aanzien van de wettelijke vereiste bescherming van persoonsgegevens.
2. Toezien op naleving van:
a. de AVG (in de AVG is opgenomen dat de FG het dagelijks bestuur ‘bijstaat bij het toezicht op de interne naleving van de AVG’), en
b. andere Unierechtelijke (lees: Europese) of nationale gegevensbeschermingsbepalingen en aanverwante wetgevingen
c. het beleid van het bestuur met betrekking tot de bescherming van persoonsgegevens (inclusief van verantwoordelijkheden, bewustmaking en opleiding van de medewerkers, en de betreffende audits).
3. Gevraagd en ongevraagd advies geven met betrekking tot de bescherming van persoonsgegevens en in het bijzonder de effectiviteit van het beleid en genomen maatregelen in de praktijk.
4. Uw organisatie op de hoogte houden van relevante ontwikkelingen die mogelijk op uw organisatie van toepassing zijn, vanuit wetgeving en jurisprudentie, als ook de Nederlandse en Europese autoriteiten (resp. de AP en de European Data Protection Board) en andere advies organen.
5. Toezien en adviseren bij een DPIA en toezien op de uitvoering daarvan in overeenstemming met de AVG. 
Om dit goed uit te voeren, kan de FG onder andere:
a. informatie verzamelen om het (type) gebruik van persoonsgegevens te identificeren;
b. analyseren en controleren in hoeverre het gebruik van persoonsgegevens aan de AVG voldoet; en
c. het Dagelijks bestuur informeren, adviseren of aanbevelingen geven.
6. Met de Autoriteit Persoonsgegevens (hierna AP) samenwerken en voor de AP optreden als contactpunt inzake met verwerking van persoonsgegevens verband houdende aangelegenheden, en – waar passend -overleg plegen over enige andere aangelegenheid aangaande privacy.
7. Het in samenwerking met de Privacy Officer (hierna PO) van de organisatie, en het mogelijk aangesteld Privacy Team, afhandelen van een Data-lek na constatering. Ook bij een vermoeden van een Data-lek zal de FG worden betrokken in het bepalen van de te volgen stappen en eventuele noodzakelijke acties.
8. De FG is verplicht bij de uitvoering van zijn taken rekening te houden met de aan het gebruik van persoonsgegevens verbonden risico’s, en met de aard, de omvang, de context en de doelen van het gebruik van die gegevens.

Twee opties FG-as-a-Service

Privaty biedt de invulling hiervan aan in twee verschillende opties.

Uw organisatie voldoet volledig en aantoonbaar aan de AVG, u hebt accountability bereikt.
In eerste instantie zal uw FG in ieders geval minimaal 8 uur per maand op locatie werkzaam zijn. Na gelang het bestaande kennis niveau omtrent de AVG binnen de organisatie zullen de verwachte benodigde uren in overleg worden bepaald. Uw FG zal uw accountability gaan controleren en op het eind van het eerste jaar hierover een audit rapport uitbrengen. 
 
Planning werkzaamheden
Hieronder volgt een omschrijving met een schatting van de jaarkalender. De geplande werkzaamheden kunnen in overleg verspreid worden met het oog op het aantal afgesproken uren per maand. Naast deze vaste cyclische activiteiten dient uw FG tevens als vraagbaak voor de organisatie. U kunt elke dag bij uw FG terecht met vragen omtrent de AVG. Het afhandelen en melden van datalekken valt hier tevens onder. In het geval van een datalek kan de FG indien nodig en gewenst u direct op locatie bijstaan.
Concept Jaarkalender
Als de FG van start gaat zal hij beginnen met het controleren van het verplichte verwerkingsregister waar alle verwerkingen van persoonsgegevens van de organisatie in vermeld worden. Vervolgens wordt per verwerking bekeken of deze conform wettelijke eisen is ingevuld en worden eventueel aanbevelingen gedaan voor verbeteringen. Deze opstartfase zal tijdelijk wat meer inzet van de FG vragen. Na de opstartfase valt de inzet terug naar een vaste basis, met daarbij eventueel extra inzet als wijzigingen of omstandigheden daarom vragen.
 
Uw organisatie voldoet (nog) niet volledig en aantoonbaar aan de AVG.
Na ons eerste verkennend gesprek zullen wij in overleg met uw organisatie uw wensen en behoeften vaststellen om vervolgens de benodigde inzet te bepalen van uw FG tijdens de implementatiefase. Tevens zal worden besproken op welke wijze uw FG u zal ondersteunen en begeleiden tijdens het implementatie traject. Hierbij spelen de volgende aspecten een rol:
 
• Onze FG heeft kennis van zaken en die komt het best tot zijn recht wanneer de FG direct kan adviseren over werkzaamheden als het aanleggen van een verwerkingsregister en het toetsen van verwerkingen. Totaal zijn 13 hoofddoelen te definiëren vanuit de AVG met verschillende onderliggende privacy activiteiten.
• Een FG dient wettelijk gezien onafhankelijk te zijn. Dit betekent dat de FG niet zowel de implementatie als de toekomstige audits kan uitvoeren. Om deze reden blijft de FG in een adviserende rol.
• Uw organisatie kan na het eerste advies gesprek zelf keuzes maken in het te volgen traject. Meerdere wegen kunnen hier naar het spreekwoordelijke Rome leiden. Uw FG zal u na een nulmeting hierover adviseren.
• In overleg kan uw FG wel in een adviserende rol betrokken worden bij het implementatieproces door mee te denken over de te volgen methodiek, het implementatie projectplan en prioritering van de verschillende privacy activiteiten. Omdat dit extra inzet en begeleiding vraagt zullen hier aparte afspraken over gemaakt worden.
• De benodigde inzet van uw FG en op welke wijze wordt vooral bepaald door de mate waarin u reeds aan de AVG voldoet, de periode die u ervoor wilt doen om volledige accountability te bereiken (doch zo spoedig mogelijk), en het bestaande kennisniveau binnen uw organisatie.
• Na het afronden van de implementatie fase zal uw FG direct starten met het bepalen van het audit programma (jaar cyclus) en dit vervolgens in uitvoering brengen.