De Functionaris voor de Gegevensbescherming (FG) houdt binnen de organisatie toezicht op de naleving van de Wet bescherming persoonsgegevens (Wbp).
Verplicht
Vanaf 25 mei 2018, als de AVG volledig in werking is, zijn organisaties in een aantal gevallen verplicht om een FG aan te stellen. Artikel 37 van de AVG stelt een FG verplicht in drie situaties:
- Overheden en publieke organisaties
Overheden en publieke organisaties zoals rijksoverheid, gemeenten, provincies, zorg- en onderwijsinstellingen, zijn altijd verplicht om een FG aan te stellen! Alleen voor rechtbanken geldt deze verplichting niet. - Observatie
Organisaties die vanuit hun kernactiviteit(en) op grote schaal mensen of diens activiteiten volgen zijn verplicht een FG aan te stellen. Denk hierbij bijvoorbeeld aan profiling van mensen voor het maken van risico-inschattingen, cameratoezicht, monitoring van iemands gezondheid via wearables en personeelsvolgsystemen. - Bijzondere persoonsgegevens
Organisaties die op grote schaal bijzondere persoonsgegevens verwerken als kernactiviteit zijn ook verplicht een FG aan te stellen. Bijzondere persoonsgegevens zijn bijvoorbeeld gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijk verleden.
Toezicht, kennis en expertise
Van de FG wordt verwacht dat hij bovengemiddelde vakkennis heeft van privacywetgeving en van de praktijk van gegevensbescherming. De vereiste expertise en vaardigheden omvatten tenminste:
- Kennis van nationale en Europese privacy wet en regelgeving voor gegevensbescherming
- Begrip van de gegevensverwerkingen die de organisatie uitvoert
- Begrip van IT en informatiebeveiliging
- Kennis van de organisatie en de sector waarin deze actief is
- Vaardigheden om binnen de organisatie een cultuur van gegevensbescherming te ontwikkelen
Aanmelden bij de AP
De AP wil weten of sprake is van een verplichte dan wel vrijwillige FG. Aanmelden is verplicht en dient te gebeuren via het aanmeldingsformulier functionaris voor de gegevensbescherming.