Per 25 mei 2018 geldt de Algemene Verordening Gegevensbescherming (AVG). Vanaf dit moment kunnen organisaties verplicht zijn een Functionaris voor de Gegevensbescherming (FG) aan te stellen. Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG.

Op grond van artikel 37 van de AVG is een FG in drie situaties verplicht:

  1. De Rijksoverheid, gemeenten en provincies, maar ook zorg- en onderwijsinstellingen zijn altijd verplicht om een FG aan te stellen.
  2. Organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen. U kunt hierbij denken aan profilering van mensen voor het maken van risico-inschattingen, cameratoezicht en monitoring van iemands gezondheid via wearables. Essentieel hierbij zijn onder meer het aantal mensen dat een organisatie volgt, de hoeveelheid gegevens die deze organisatie verwerkt en hoelang de organisatie mensen volgt.
  3. In het geval de organisatie overwegend bijzondere gegevens verwerkt en dit een kernactiviteit is. Denk bijvoorbeeld aan gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijk verleden.

Nog te vaak zien wij dat een interne medewerker – parttime – wordt aangewezen voor de functie van FG. Maar het goed omgaan met data en persoonsgegevens is essentieel voor een goede bedrijfsvoering en kost dus veel meer tijd. Bovendien komt men er in toenemende mate achter dat de functie veel meer inhoudt dan oorspronkelijk gedacht en daarmee gecompliceerder is. In de meeste gevallen duurt het zo’n een tot twee jaar voordat de AVG ingevoerd is en is men nog bezig met de implementatie, en nog niet met controles en toezichthouden.

De kansen die het aanstellen van een FG biedt, zijn:

  • Met het daadwerkelijk aanstellen van een FG kunt u uw klanten en personeel laten zien dat u hun gegevens echt belangrijk vindt en er zorgvuldig mee omgaat. Immers, u laat uw organisatie onafhankelijk controleren op het toepassen van de juiste maatregelen voor privacybescherming en informatiebeveiliging.
  • Voortdurende controle: door het continue toezicht weet u dat u zich aan de AVG houdt en met behulp van de planning welke punten nog openstaan.
  • En uiteindelijk het einddoel: een solide basis binnen uw organisatie om voor de lange termijn een kostenefficiënte en effectieve beheersing van het privacy- en securityvraagstuk te realiseren.