AVG en FG

Sinds 25 mei 2018 geldt de Algemene Verordening Gegevensbescherming (hierna AVG). Vanaf dat moment kunnen organisaties verplicht zijn een FG aan te stellen. Dit is een onafhankelijke functie die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG. Organisaties die geen FG plicht kennen wordt aangeraden om toch een FG te benoemen. Er zijn Europese lidstaten die inmiddels alles organisaties FG plichtig hebben gesteld, bijvoorbeeld Duitsland.

Wanneer is een FG verplicht?

Voor overheden en publieke organisaties
Ten eerste zijn overheidsinstanties en publieke organisaties altijd verplicht om een FG aan te stellen, ongeacht het type gegevens dat ze verwerken. Het kan gaan om de rijksoverheid, gemeenten en provincies, maar ook om bijvoorbeeld zorg- en onderwijsinstellingen. 
Bij regelmatige en stelselmatige observatie van personen
Wanneer er sprake is van verwerking van persoonsgegevens, die vanwege hun aard en omvang en/of hun doeleinden regelmatige en stelselmatige observatie vereisen, is het ook verplicht om een FG aan te stellen als organisatie.
Bij verwerking van bijzondere persoonsgegevens
Als uw organisatie op grote schaal bijzondere persoonsgegevens verwerkt en dit een kernactiviteit is. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden.

Wettelijke vereisten

De wet stelt de volgende eisen aan een FG. Een FG moet:
een natuurlijk persoon zijn (mag dus geen commissie, OR of bedrijf zijn);
voldoende kennis hebben van de organisatie, van informatiebeveiliging en van de privacywetgeving;
betrouwbaar zijn, dit uit zich onder meer in een geheimhoudingsplicht, en een Verklaring Omtrent het Gedrag (VOG).

Bevoegdheden van een FG

Een FG heeft geen formele sanctiebevoegdheden. Maar de organisatie is wel wettelijk verplicht om de FG controlebevoegdheden te geven. Zo moet een FG bevoegd zijn om ruimtes te betreden, zaken te onderzoeken en inlichtingen en inzage te vragen. De FG moet in onafhankelijkheid zijn werkzaamheden kunnen verrichten binnen een organisatie.

Taken van een FG

De belangrijkste taken van een FG vanuit de AVG (artikel 39) zijn:
Het informeren en adviseren over de wettelijke verplichtingen bij het verwerken van persoonsgegevens en toezien op naleving ervan;
Toezien op een adequate beveiliging van gegevens en adviseren over betrouwbare ICT (privacy by design);
Organiseren van een (verplichte) Privacy Impact Assessment (PIA) vóór het starten met nieuwe verwerkingen van persoonsgegevens, waarbij mogelijke risico’s voor de privacy van betrokkenen worden geïnventariseerd. 
Als aanspreekpunt fungeren voor privacy vragen, zowel intern voor de organisatie zelf als extern voor de betrokkenen waarvan persoonsgegevens verwerkt worden;
Samenwerken met de Autoriteit Persoonsgegevens (AP);
Functioneren als (eerste) aanspreekpunt en sparringpartner voor de AP;
Vanuit onze visie zullen wij deze werkzaamheden in elk geval een vast aantal uren bij u op locatie uit voeren omdat wij vinden dat binding met de organisatie en uw werknemers essentieel is voor een goed beeld van organisatie. 

Aanstellen van een externe FG heeft voordeel

Een organisatie kan zelf een FG in dienst nemen of een externe specialist inhuren. De organisatie moet de FG vervolgens aanmelden bij de AP, pas dan kan de FG formeel aan de slag. Het aanstellen van een externe specialist heeft voordelen ten aanzien van het zelf in dienst nemen van een FG.
De voordelen van een ingehuurde specialist zijn:
De functie van FG is meestal geen fulltime baan, waardoor de ingehuurde specialist met een bij de organisatie passende inzet ingehuurd kan worden;
De benodigde expertise is specialistisch en breed, met een ingehuurde FG is continuïteit en actualiteit van benodigde kennis gegarandeerd;
De beschikbare kennis is breder, aangezien de FG dagelijks bezig is met gegevensbescherming in verschillende werkomgevingen, maar ook kennis opdoet vanuit vakverenigingen (IAPP, WP29, Norea, PvIB); 
De FG heeft als extern persoon geen enkel persoonlijk belang bij politieke gevoeligheden binnen de organisatie en kan daardoor een meer onafhankelijke rol innemen.
 
De verplichting om een FG aan te wijzen, geldt voor een schoolbestuur (en niet per school).
Uit bovenstaande punten uit de AVG volgt dat schoolbesturen (als bevoegd gezag) een FG moeten aanwijzen.
De PO-Raad, VO-raad en Kennisnet raden schoolbesturen aan dat te doen.