De rol van de FG


Werken in overeenstemming met de Europese Algemene Verordening Gegevensbescherming (AVG) betekent vaak ook de aanstelling van een Functionaris voor Gegevensbescherming (FG). In deze bijdrage wordt verkend welke eisen de AVG aan een FG stelt en welke rol de FG kan spelen bij de naleving van de AVG en andere regels. Een goede FG kan bedrijven en instellingen voor veel ellende behoeden.

Stand van zaken

Sinds 25 mei 2018 is de Europese AVG van toepassing. Veel bedrijven en instellingen zijn verplicht een FG aan te stellen. Wat wordt er van een FG gevraagd en welke rol kan een FG bij de naleving spelen?

De FG moet volgens de AVG op grond van zijn of haar professionele kwaliteiten worden aangesteld en, in het bijzonder, op grond van zijn of haar deskundigheid op het gebied van wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen de in artikel 37 van de AVG genoemde positie van de FG te vervullen.

Verwacht wordt dat de FG beschikt over juridische deskundigheid, verstand heeft van IT en informatiebeveiliging en weet hoe een organisatie functioneert. In het laatste geval spreken van administratieve organisatie en interne controle. Bij datalekken moet de FG snel kunnen handelen als crisismanager. Hij is dan aanspreekpunt voor de Autoriteit Persoonsgegevens en vaak ook voor betrokkenen. Bovendien moet hij of zij met autoriteit de toezicht- en compliancerol vervullen. Een FG moet zowel met IT-deskundigen over praktische informatiebeveiliging kunnen overleggen, als met bestuurders en toezichthouders over governance en risicomanagement.

De verwerkingsverantwoordelijke moet ook wat doen en wel het volgende:

1.     Hij dient er voor te zorgen dat de FG naar behoren en tijdig wordt betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens;

2.     Hij dient er voor te zorgen dat de FG zijn plichten en taken onafhankelijk vervult en geen instructies ontvangt met betrekking tot de uitoefening van de functie.

3.     De FG brengt rechtstreeks verslag uit aan de verwerkingsantwoordelijke. De verwerkingsverantwoordelijke moet dan ook een lid van de Raad van Bestuur aanwijzen die portefeuillehouder van de AVG is en aan wie de FG rechtstreeks rapporteert;

4.     Hij ondersteunt tot slot de FG bij de vervulling van zijn taken en zorgt voor ondersteunend personeel, kantoren, uitrusting en alle andere middelen die nodig zijn voor de vervulling van de bedoelde plichten en taken.

Wat doen Duthler Associates, Duthler Professionals en Duthler Academy?

Duthler Associates ondersteunt organisaties en FG’s bij het voldoen aan de AVG waaronder het opzetten van privacybeleid, het inrichten van een privacyorganisatie, het aanleggen en bijhouden van een register van verwerkingen, het uitvoeren van privacy assessments en realiseren van bewijs van compliance met de AVG.

Duthler Academy leidt FG’s op en biedt nascholingsmodules. Duthler Professionals levert tijdelijke FG’s die ofwel de eerste slag maken naar blijvende compliance met de FG ofwel als interim FG optreden. Duthler Professionals levert daarnaast externe FG’s die niet op de payroll staan van de verwerkingsverantwoordelijke maar wel de gewenste kwaliteit leveren.