U bent hier

Aan welke eisen moet een Functionaris voor de Gegevensbescherming voldoen?

Met de komst van de Algemene verordening gegevensbescherming per 25 mei 2018 krijgt de Functionaris voor de Gegevensbescherming een (nog) belangrijkere rol toebedeeld binnen uw organisatie. Waar moet diegene aan voldoen?

Strengere regels

De Verordening stelt meer en strengere (procedure)regels aan de verwerking van persoonsgegevens. Het is aan de Functionaris voor de Gegevensbescherming (FG) om erop toe te zien en ervoor zorg te dragen dat dit ook daadwerkelijk op de juiste wijze gebeurt. Ook scholen dienen vanaf 25 mei 2018 een FG aan te wijzen omdat zij regelmatig en stelselmatig leerlingen observeren en bijzondere persoonsgegevens verwerken.

Een vraag die in dit kader regelmatig aan ons wordt gesteld, is hoe de rol van FG binnen de organisatie specifiek ingevuld moet worden. Over welke vaardigheden dient een FG te beschikken en aan welke bekwaamheidseisen moet hij voldoen?

Vaardigheden van een FG

De Verordening zelf geeft weinig specifieke handvatten met betrekking tot de vraag over welke vaardigheden een FG dient te beschikken en aan welke bekwaamheidseisen hij moet voldoen.

Uitgangspunt is dat de kennis van de FG dient te passen bij de gevoeligheid, de complexiteit en de hoeveelheid gegevens die een organisatie verwerkt. Dit vloeit specifiek voort uit overweging 97 bij de Verordening: "Het vereiste niveau van deskundigheid dient met name te worden bepaald op grond van de uitgevoerde gegevensverwerkingen en de bescherming die voor de door de verantwoordelijke of de verwerker verwerkte gegevens vereist is."

Daarnaast is in artikel 37 van de Verordening zelf opgenomen dat "een functionaris gegevensbescherming wordt aangewezen op grond van zijn professionele kwaliteiten, en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen de in artikel 39 bedoelde taken te vervullen."

Autoriteit Persoonsgegevens

Als we kijken naar de website van de Autoriteit Persoonsgegevens staat over een FG het volgende: "Van een FG wordt verwacht dat hij of zij bovengemiddelde vakkennis heeft van privacywetgeving en van de praktijk van gegevensbescherming.

De vereiste expertise en vaardigheden omvatten in ieder geval:

  • kennis van nationale en Europese privacywet- en regelgeving over gegevensbescherming;
  • begrip van de gegevensverwerkingen die de organisatie uitvoert;
  • begrip van IT en informatiebeveiliging;
  • kennis van de organisatie en de sector waarin die actief is; 
  • vaardigheden om binnen de organisatie een cultuur van gegevensbescherming te ontwikkelen.

Het concrete kennisniveau dat een FG moet hebben, is afhankelijk van de betreffende organisatie. Welke gegevensverwerkingen voert de organisatie uit? En welk niveau van bescherming van persoonsgegevens vereist dit? Een FG heeft bijvoorbeeld meer expertise (en ondersteuning) nodig als de organisatie grote hoeveelheden gevoelige gegevens verwerkt."

Hieruit valt te concluderen dat het van belang is dat de FG in ieder geval op de hoogte dient te zijn van de nationale en Europese gegevensbeschermingswetten en gebruiken en (diepgaande) kennis van de AVG moet hebben. Daarnaast dient de FG voldoende inzicht te hebben in de uitgevoerde gegevensverwerkingen en de informatiesystemen en de behoeften van de verantwoordelijke op het gebied van veiligheid van gegevens en gegevensbescherming.

Ook is van belang om op te merken dat uit de Verordening voortvloeit dat de FG een onafhankelijke positie dient te bekleden binnen de organisatie. Omdat een FG een zelfstandige verantwoordelijkheid heeft en onafhankelijk van zijn werkgever zijn taken en verplichtingen moet kunnen vervullen, is in de Verordening opgenomen dat een FG niet mag worden ontslagen of worden bestraft voor het uitvoeren van hun verplichtingen als functionaris. De FG heeft in dit opzicht een status die vergelijkbaar is met een lid van de ondernemingsraad of medezeggenschapsraad.  

De Artikel 29-werkgroep

Naast de Autoriteit heeft ook de Artikel 29-werkgroep (een onafhankelijke Europees adviesorgaan op het gebied van gegevensbescherming en persoonlijke levenssfeer) richtlijnen opgesteld voor functionarissen voor gegevensbescherming. In deze richtlijnen wordt onder andere ingegaan op de vraag in welke gevallen de verplichting bestaat om een FG aan te wijzen, welke deskundigheid en vaardigheden relevant zijn en wat de taken van de FG zijn. De richtlijnen zijn bedoeld ter verduidelijking en als hulpmiddel voor organisaties om aan de wet te voldoen. Ook voor de FG zelf zijn de richtlijnen een bruikbaar hulpmiddel. 

Lees u in en bereid u voor:

Hebt u vragen? Neem contact op met onze juridische helpdesk.

PO | VO

Aanmelden voor de Verus nieuwsbrief

Iedere week het laatste nieuws uit het onderwijs