De waarde van het FG Register


Sinds de Algemene verordening gegevensbescherming (Avg) per 25 mei 2018 van toepassing is, is een aantal organisaties verplicht een functionaris gegevensbescherming (FG) aan te stellen. In die situaties waarin de Avg niet specifiek de aanstelling van een FG vereist, moedigen de Europese toezichthouders (European Data Protection Board, EDPB) in hun guidelines de vrijwillige aanstelling van een FG toch aan.

De FG moet toezien op de toepassing én de naleving van de Avg binnen de organisatie. Volgens de EDPB is de FG de hoeksteen van de verantwoording en bovendien de sleutelfiguur in het nieuwe systeem voor privacy en gegevensbescherming.  Het aanstellen van een FG vereenvoudigt, aldus de EDPB, de naleving van de Avg en kan daarnaast een concurrentievoordeel voor bedrijven vormen.

Professionele kwaliteiten, deskundigheid en vermogen om de taken te vervullen

Met het aanstellen van een FG, al dan niet verplicht, ben je er als organisatie nog niet.  Als verwerkingsverantwoordelijke of verwerker moet je er vervolgens voor zorgen dat de FG over voldoende middelen beschikt om zijn of haar taken uit te kunnen oefenen. Daarnaast is het van wezenlijk belang dat de FG ‘’wordt aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen om de in artikel 39 bedoelde taken te vervullen’’,aldus artikel 37 van de Avg.

Voor organisaties die een FG hebben aangesteld of op zoek zijn naar een FG, maar ook voor de FG zelf is het essentieel om te weten wat met ‘’professionele kwaliteiten’’, ‘’deskundigheid’’ en ‘’vermogen om de in artikel 39 bedoelde taken te vervullen’’ wordt bedoeld.   De guidelines van de EDPB geven hier duidelijkheid over, evenals de Autoriteit Persoonsgegevens op haar website.

Een FG moet in ieder geval beschikken over een grondige kennis van de Avg, naast kennis van nationale en Europese privacywet- en regelgeving. De FG moet kennis hebben van IT en informatiebeveiliging, van de organisatie en de sector waarin deze actief is en de FG moet een gedegen kennis hebben van de administratieve regels en procedures van de organisatie.

Het vereiste niveau van deskundigheid moet in verhouding staan tot de gevoeligheid en de complexiteit van de gegevens, alsook de hoeveelheid gegevens die een organisatie verwerkt.

Het vermogen om de taken te vervullen is een verwijzing naar persoonlijke vaardigheden en kennis van de FG, maar heeft ook te maken met zijn of haar positie binnen de organisatie. Belangrijke persoonlijke kwaliteiten zijn bijvoorbeeld integriteit en een hoge mate van professionele ethiek, het gaat immers om de naleving van de Avg. Daarnaast verwijst het vermogen om de taken te vervullen naar de fundamentele rol die de FG speelt in het creëren van een cultuur van gegevensbescherming binnen de organisatie en bij de implementatie van de Avg, zoals de beginselen van gegevensverwerking, de rechten van de betrokkenen, privacy by design en privacy by default, het  register van verwerkingen,  beveiliging van de verwerking en de afhandeling van datalekken.

Duthler Academy en opleiding FG

Duthler Academy verzorgt sinds 2014 een volwaardige tweejarige opleiding FG met een bijbehorend programma voor permanente educatie. Duthler Academy streeft ernaar FG’s  ‘’professionele kwaliteiten’’, ‘’deskundigheid’’ en ‘’vermogen om de in artikel 39 bedoelde taken te vervullen’’ bij te brengen.

Naast  kennisoverdracht op hoog niveau worden FG’s  handvatten gegeven voor de dagelijkse praktijk. Er is ook aandacht voor de ontwikkeling van de persoonlijke kwaliteiten van de FG en voor de professionele ethiek. Zo heeft de werkgroep Ethiek van Duthler Academy de gedragsregels voor de FG ontwikkeld en is er de mogelijkheid om deel te nemen aan intervisie bijeenkomsten.

Duthler Academy ontwikkelt constant modules die inspelen op de actualiteit of zien op ontwikkelingen in specifieke sectoren, bijvoorbeeld de zorg, de financiële sector of de gemeenten.

Het FG Register van Duthler Academy

Duthler Academy heeft een FG Register. FG’s die de opleiding FG van Duthler Academy volgen dan wel hebben gevolgd en meedoen aan het PE programma van Duthler Academy kunnen hierin worden opgenomen.

Een vermelding in het FG Register van Duthler Academy geeft kwalificaties weer, namelijk dat ‘’professionele kwaliteiten, deskundigheid en het vermogen om de taken te vervullen’’zijn verkregen door het volgen van de opleiding FG van Duthler Academy.

Duthler Academy vervult in het FG Register de functie van “trusted third party”. Zij staat in voor de kwaliteit van de opleiding FG én voor de kwaliteit van de deelnemers die de opleiding FG volgen of hebben gevolgd.

De Autoriteit Persoonsgegevens houdt alleen een intern FG register bij.  Omdat de Avg organisaties verplicht de contactgegevens van hun FG zelf openbaar te maken is het niet meer nodig dat de Autoriteit Persoonsgegevens het FG-register openbaar maakt. Het FG register van de Autoriteit Persoonsgegevens kent echter geen kwaliteitscontrole. Benoeming als FG is de enige voorwaarde voor inschrijving.

Transparantie is een belangrijk uitgangspunt van privacywetgeving. Door middel van vermelding in het FG Register van Duthler Academy kan de FG aan betrokkenen en aan organisaties laten zien dat hij of zij gekwalificeerd is.

Avg en certificering

De Avg bevordert de accreditatie van instellingen die certificaten kunnen toekennen waarmee kan worden aangetoond dat een product of dienst aan specifieke eisen uit de Avg voldoet. Op deze manier wordt de transparantie en naleving van de verordening versterkt.

Duthler Academy erkent het belang van een dergelijk certificeringsmechanisme en juicht dit toe. In het maatschappelijk verkeer is duidelijk behoefte aan zekerheid omtrent de kwalificaties van producten en diensten rondom de Avg.  Accreditatie van instellingen kan aan deze behoefte voldoen.

Dit is de eerste Duthler & Duthler blog. Op regelmatige basis zullen Anne-Wil Duthler en Ans Duthler een blog schrijven, inspelend op de actualiteit en terug te vinden op de websites van First Lawyers of één van de Duthler bedrijven.