Heb ik een Functionaris Gegevensbescherming nodig?

Dit is de tweede van negen korte artikelen over de nieuwe privacywetgeving: de Algemene Verordening Gegevensbescherming (AVG). In de komende artikelen behandelen we de belangrijkste thema’s uit de AVG.

Een belangrijke rol binnen de AVG is weggelegd voor de privacy officer of ‘Functionaris voor Gegevensbescherming’ (FG). Maar wat moet deze eigenlijk doen en wanneer is deze verplicht? En met het aanstellen van een FG bent u er niet, want wie is er bestuurlijk eindverantwoordelijk voor privacy? En wat is de rol van stafmanagers (bijvoorbeeld op het gebied van HR, ICT en inkoop) en van de lijnmanagers? Het is belangrijk om vast te stellen welke plaats een FG inneemt binnen de structuur en het beleid van uw organisatie en wat de logische taken, rollen en verantwoordelijkheden zijn voor medewerkers en managers.

Dit klinkt alsof de AVG alleen zou gelden voor grotere bedrijven. Maar dat is niet zo. Hij geldt voor iedereen op dezelfde manier. Dat maakt de invoering voor kleinere en middelgrote ondernemingen extra lastig.*

In een aantal situaties verplicht de AVG dat u een FG aanstelt. Maar, ook als dit wettelijk niet verplicht is, kan het heel verstandig zijn iemand aan te wijzen die verantwoordelijkheid draagt voor het naleven van de privacyregels. Het is ook mogelijk om een externe privacy officer of FG te hebben. Die rol kunnen wij ook voor u vervullen. Kijk maar wat passend is voor uw organisatie.

Het is belangrijk om te beoordelen of er binnen uw organisatie een dergelijke functionaris moet worden aangesteld. Voor uitleners zal al snel sprake zijn van verwerking van bijzondere persoonsgegevens op grote schaal. Wat precies bedoeld wordt met ‘grootschalig’ vertelt de AVG niet. Het is ook lastig om hier een getalscriterium aan te hangen. Er is dus een groot grijs gebied waarin u zelf moet bepalen of u een FG aanstelt. Meer over de afweging die u als organisatie moet maken, vindt u in het blog ‘Licht in de duisternis: wel of geen Functionaris voor Gegevensbescherming?’ Het wordt langzamerhand wel steeds duidelijker, dat als er twijfel is of u wel of geen privacy officer aan moet stellen, u goed moet kunnen motiveren waarom u het níet doet. Een soort omgekeerde bewijslast dus…

Als u niet verplicht bent er een aan te stellen kan het nog steeds verstandig zijn om een functionaris aan te wijzen. Dit zal dan vaak gepaard gaan met het vaststellen van de rollen en verantwoordelijkheden van de bij privacy betrokken functionarissen zoals de security officer, juridische zaken, ICT en dergelijke. Hiervoor kan gebruik gemaakt worden van het zogenaamde RACI-model. Dit is een matrix die wordt gehanteerd om de rollen en verantwoordelijkheden van de personen weer te geven. In de matrix staan dan op de horizontale as de namen van de personen of de functionele rollen, en op de verticale as de op te leveren resultaten, betrokken processen of activiteiten. Zo is voor iedereen duidelijk hoe de verantwoordelijkheden rondom privacy zijn belegd.

In het volgende artikel wordt ingegaan op de verwerkingen en grondslagen daarvoor in de wet. Heeft u in beeld in welke systemen, welke gegevens zitten? En: mag u deze gegevens eigenlijk wel hebben…?

Marcel Reijmers, directeur FlexKnowledge

* FlexKnowledge en Verdonck Klooster & Associates helpen ondernemers om te voldoen aan de vereisten van de AVG.

Bent u al AVGoké Flex?
Op 15 en 20 maart 2018 organiseren FlexKnowledge, Verdonck Klooster & Associates, ARTRA en Cicero een tweetal seminars om u in een middag goed op weg te helpen. Meer informatie en de mogelijkheid voor inschrijving is te vinden op de website van ARTRA.