Functionaris Gegevensbescherming; erebaan of hondenbaan?

Al voor de invoering van de AVG kenden veel organisatie in Nederland op vrijwillige basis de formele positie van functionaris voor gegevensbescherming (FG). De benoeming van deze Data Protection Officer (DPO) ‘voorkwam’ onder andere dat je verwerkingen van persoonsgegevens moest opnemen in het openbare Wbp-meldingenregister van het College bescherming persoonsgegevens (Cbp).

Voor iedereen die nog steeds vindt dat de AVG niet veel anders is dan de Wbp; dit is toch echt wel een grote verandering. Het Cbp is Autoriteit Persoonsgegevens (AP) geworden, het openbare meldingenregister is vervangen door de verplichting dat organisaties meestal een verwerkingsregister moeten bijhouden en veel organisaties zijn inmiddels verplicht om een FG aan te stellen. Aan die aanstelling worden nogal wat eisen gesteld…    

De FG is aanspreekpunt, adviseert de organisatie en houdt intern toezicht over de AVG. De FG is dus feitelijk een vooruitgeschoven loket van de AP. Aanstelling is verplicht voor overheidsorganisaties, als persoonsgegevens op grote schaal als kernactiviteit worden verwerkt of bij verwerking van bijzondere categorieën persoonsgegevens. Ook als je niet verplicht bent om een FG aan te stellen mag je vrijwillig een FG aanstellen. Die FG heeft dan dezelfde taken, positie, bevoegdheden en verantwoordelijkheden. Je kunt ook kiezen voor een vergelijkbare rol; niet formeel aangesteld en bij de AP aangemeld. Bijvoorbeeld een ‘medewerker gegevensbescherming ‘of ‘privacy officer’. Maar dan moet je wel in-en extern duidelijk maken dat die persoon formeel geen FG is.      

Het Conclusion ecosysteem van bedrijven levert diensten aan allerlei, vaak maatschappelijk relevante, organisaties. Wij nemen bescherming van persoonsgegevens serieus en hebben er daarom bewust voor gekozen een FG aan te stellen die de bedrijven in het hele Conclusion ecosysteem vertegenwoordigd. Een deskundig persoon, zoals dat in de wet staat. Maar onze bedrijven leveren allerlei verschillende diensten en krijgen bij de verwerking van persoonsgegevens te maken met heel uiteenlopende zaken. Daarom hebben we ook AVG-aanspreekpunten (Single Points of Contacts; SPOCs) benoemd om de bedrijven in ons ecosysteem, met hulp van onze FG, goed te kunnen adviseren. Deze AVG-aanspreekpunten helpen de FG natuurlijk ook bij het toezicht op de verwerking van persoonsgegevens. De FG hoeft en kan immers niet op alle terreinen zelf deskundig zijn; als de expertise maar in zijn team beschikbaar is.

In een voorgaande blog beschreef ik al eerder mijn enthousiasme over goede samenwerking van security officers en bedrijfsjuristen. Het zal dus niemand verassen dat we die samenwerking in alles wat we rond de AVG organiseren ook structureel hebben ingericht. Onze FG werkt inmiddels met een virtueel, multidisciplinair kernteam met juridische-, security- en communicatiekennis. Natuurlijk zijn er ook nog eens ‘op afroep’ meer dan 1500 IT-specialisten uit ons ecosysteem voor hele specifieke vragen en oplossingen beschikbaar. 

Veel organisaties zijn - net als Conclusion – samengesteld uit samenwerkende bedrijven waarbij één bedrijf deze groep richting de markt of opdrachtgever vertegenwoordigd. Onze relaties hebben daarom veel belangstelling voor de manier waarop wij de AVG toch efficiënt en effectief adresseren en vragen ons een vergelijkbare situatie in hun organisatie te implementeren; de processen, documentatie en techniek. 

FG as-a-service… Klinkt zakelijk interessant, maar toch reageren we met reserve… Business Done Differently 😊.

Over onze reserves en hoe we dit zelf ‘multidisciplinair’ organiseren meer in de volgende blog.