Home / Nieuws & Blogs / Artikel 29-werkgroep richtlijnen Functionaris Gegevensbescherming (FG)

Artikel 29-werkgroep richtlijnen Functionaris Gegevensbescherming (FG)

5 januari 2017

Op 16 december 2016, publiceerde de Artikel 29-werkgroep (WP29) op haar website richtlijnen en FAQ’s ter verduidelijking van een drietal begrippen uit de Algemene Verordening Gegevensbescherming (AVG). In dit artikel een uitgebreide bespreking van de eerste richtlijnen van de Artikel 29-werkgroep ten aanzien van de Functionaris Gegevensbescherming (FG).

De AVG is de nieuwe Europese pricacywetgeving welke vanaf 25 mei 2018 de huidige Wet bescherming persoonsgegevens (Wbp) zal vervangen. Op basis van artikel 37 van de Algemene Verordening Gegevensbescherming (AVG) is het instellen van een FG verplicht wanneer:

  • de gegevensverwerking wordt verricht door een overheidsorgaan of overheidsinstantie;
  • een verantwoordelijke of bewerker hoofdzakelijk is belast met gegevensverwerkingen die op grote schaal regelmatige en stelselmatige observatie van betrokkenen vereisen;
  • een verantwoordelijke of bewerker hoofdzakelijk is belast met de verwerking van bijzondere persoonsgegevens op grote schaal.

Overheidsorgaan of overheidsinstantie

Ten aanzien van gegevensverwerkingen door een overheidsorgaan of overheidsinstantie dient een FG te worden ingesteld. Hieronder vallen, aldus Artikel 29-werkgroep (WP29), in het kader van een goede bedrijfsvoering ook private organisaties die publieke taken uitvoeren. Voorbeelden hiervan zijn openbare vervoersdiensten, water en energie leveranciers, de publieke omroep en een stichting ter volkshuisvesting.

Uitleg terminologie

Extra aandacht dient, volgens de Richtlijnen, te worden besteed aan de termen; ‘hoofdzakelijk’, ‘op grote schaal’ en ‘regelmatige en stelselmatige observatie’.

De term ‘hoofdzakelijk’ ziet, aldus WP29, op het feit dat de verwerking van persoonsgegevens is aan te merken als een kerntaak die noodzakelijk is voor de uitoefening van de hoofdactiviteit van een organisatie. Bijvoorbeeld, de gegevensverwerking door een beveiligingsbedrijf voor  bedrijventerreinen. De hoofdactiviteit van een dergelijk bedrijf is het surveilleren, maar het vastleggen van personen middels camerabeelden is hiervoor noodzakelijk.

Om te kunnen bepalen of er sprake is van een gegevensverwerking ‘op grote schaal’, moeten volgens WP29 een aantal factoren te worden afgewogen. Helaas, wordt er in de Richtlijnen geen concreet aantal genoemd. Wel, geeft WP29 in haar Richtlijnen een aantal voorbeelden van organisaties welke in ieder geval aan dit criterium voldoen, dit zijn; ziekenhuizen, openbare vervoerders, verzekeringsmaatschappijen, banken, zoekmachines (ten aanzien van persoonlijke advertenties) en telecom- en internetproviders.

Volgens WP29 kan er worden gesproken van ‘regelmatige en stelselmatige observatie’ wanneer er ‘doorlopend, op vaststaande termijnen of tijden, herhaaldelijk, constant of periodiek’ persoonsgegevens worden verwerkt op ‘systematische, planmatige, georganiseerde, strategische of methodische wijze’. Voorbeelden van deze vormen van observatie zijn profilering en locatietracering via bijvoorbeeld een gezondheidsapp, een spaarsysteem gekoppeld aan een klantenpas, een Fitbit of een slimme thermostaat.

Onduidelijkheid omtrent aanstellen van een Functionaris Gegevensbescherming?

Indien het aan de hand van de in de AVG genoemde criteria niet volledig duidelijk is voor een organisatie of deze een FG moet aanstellen, is het advies van WP29 om hiertoe een document op te stellen met de overwegingen. Dit omdat een organisatie de keuze voor het al dan niet aanstellen van een FG moet kunnen beargumenteren ten overstaan van een nationale toezichthouder.

Om deze reden dient het document dan ook regelmatig geüpdatet te worden, zodat de overwegingen bij eventueel nieuw aangeboden diensten of activiteiten door een organisatie alsnog zijn gebaseerd op de laatste omstandigheden. Via het document kan er door de betreffende organisatie op eenvoudige wijze verantwoording voor de keuze worden afgelegd, mocht het tot een discussie met de nationale toezichthouder komen.

Kwaliteiten en deskundigheid van de Functionaris Gegevensbescherming

Ten aanzien van de benodigde kennis en kunde van een FG, legt WP29 in de Richtlijnen uit dat deze afhangt van de gevoeligheid van de persoonsgegevens. Daarnaast is het relevant dat een FG kennis heeft van de Nederlandse en Europese privacywet en -regelgeving en op de hoogte is van de interne bedrijfsregels en -procedures. Een FG bij een overheidsorgaan moet bovendien op de hoogte te zijn van het bestuursrecht en interne procedures. Qua persoonlijke kenmerken dient een FG integer en zeer professioneel te zijn.

Positie van de Functionaris Gegevensbescherming

Een FG moet worden betrokken bij alle fasen van gegevensverwerkingen binnen een organisatie. Gedurende al deze fasen moet een FG advies en een visie te kunnen geven. Dit gaat zelfs zo ver, dat de FG zijn visie moet kunnen bespreken met het hoogste management level binnen een organisatie, indien een FG van oordeel is dat er door een organisatie in strijd met de privacywetgeving wordt gehandeld.

Hiertoe adviseert WP29 organisaties dan ook om bedrijfsvoorschriften op te stellen, ten aanzien van de (verplichte) raadpleging van een FG. Daarnaast, benadrukt WP29 dat een FG op grond van de AVG is gebonden aan geheimhouding. Dit, om werknemers de mogelijkheid te bieden privacyklachten vrijelijk te uiten zonder bang te hoeven zijn voor eventuele consequenties.

Taken van de Functionaris Gegevensbescherming

WP29 geeft aan dat de taken van een FG met name bestaan uit; het in kaart brengen van gegevensverwerkingen binnen een organisatie, juridische beoordeling hiervan en het adviseren hierover. Daarnaast heeft een FG een grote adviesrol ten aanzien van het instellen en uitvoeren van een eventuele Privacy Impact Assessment (PIA). Ten aanzien van de registerplicht (artikel 30 AVG) van een verantwoordelijke of bewerker, adviseert WP29 dat deze eveneens onderdeel vormt van het takenpakket van een FG.

Één Functionaris Gegevensbescherming voor een gehele ondernemingsgroep

WP29 geeft aan dat het een ondernemingsgroep is toegestaan om, afhankelijk van de organisatiestructuur en omvang van de ondernemingsgroep, slechts één FG (eventueel met een ondersteunend team) aan te wijzen voor alle ondernemingen binnen de groep. Voorwaarde hiervoor is wel, dat er met de FG gemakkelijk contact kan worden opgenomen vanuit alle ondernemingen door zowel betrokkenen (in hun eigen taal), de nationale toezichthouder (in diens nationale taal) als alle werknemers. Op de leiding van de ondernemingsgroep rust vervolgens de plicht, om ervoor te zorgen dat de FG zijn taken efficiënt en goed kan uitoefenen ondanks de omvang van de ondernemingsgroep. Verder, gaat de voorkeur van WP29 uit naar een FG gevestigd binnen de EU.

Lees ook onze factsheet Algemene Verordening Gegevensbescherming wat verandert er écht?

Update: De wijzigingen van de laatste versie van de richtlijnen van 5 april 2017 inzake een FG zijn eveneens in deze weblog meegenomen.  

ICTRecht Academy

Wat staat er in een bewerkersovereenkomst en hoe onderhandel je daar over? Hoe zit het met de Meldplicht Datalekken en hoe bereid ik mijn organisatie voor op de Algemene Verordening Gegevensbescherming? Met de privacytrainingen van ICTRecht Academy krijgt u praktische antwoorden op deze en andere vragen.
> Bekijk het programma
 
FG DPO opleiding

Michelle Wijnant, oud-medewerker ICTRecht
Lees meer
ICTRecht B.V.

E contact@ictrecht.nl
T +31 (0)20 663 1941
Meer informatie

Juridisch advies
Professionals inhuren
Academy
Legal Tech
Security / Informatiebeveiliging
Documenten
Ons team
Vacatures

 

 
Nieuwsbrief

Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

Inschrijven nieuwsbrief

Social media
SM 22-Linkedin SM 22_Twitter SM 22_Instagram