Functionaris Gegevensbescherming

De Algemene Verordening Gegevensbescherming (AVG) geeft regels en verplichtingen ten aanzien van het verwerken van persoonsgegevens. Onderdeel hiervan is in een aantal gevallen de aanstelling van een Functionaris Gegevensbescherming.

De belangrijkste taak van de FG is dat deze onafhankelijk toezicht en controle houdt op de naleving van de wijze waarop door de organisatie met persoonsgegevens wordt omgegaan. Door het aanstellen van een FG laat een organisatie bovendien zien dat zij serieus omgaat met de verwerking van persoonsgegevens.

Onafhankelijkheid

De Verantwoordelijke voor de verwerking van persoonsgegevens dient ervoor te zorgen dat de onafhankelijke positie van de FG is gewaarborgd. Zodoende stelt de Verantwoordelijke de FG in de gelegenheid zijn taak zelfstandig, onafhankelijk en naar behoren uit te kunnen oefenen.

Positie FG

De FG kan voor wat betreft de uitoefening van zijn functie geen aanwijzingen ontvangen van de Verantwoordelijke of anderen die bij de verwerking van persoonsgegevens betrokken zijn. Ook ondervindt de FG geen nadeel van de uitoefening van zijn taak. Desgewenst kan hij de kantonrechter verzoeken te bepalen dat de Verantwoordelijke ervoor moet zorgen dat de FG geen nadeel ondervindt in de uitoefening van zijn taak.

Om belangenverstrengeling te voorkomen, mag de FG binnen de organisatie niet ook een functie hebben waarin hij het doel en de middelen van een gegevensverwerking bepaalt.

Taken en verantwoordelijkheden

Het is van groot belang dat de FG zijn taken en bevoegdheden onafhankelijk en zonder enige belemmering kan uitoefenen. De Verantwoordelijke dient er op toe te zien dat de FG geen instructies ontvangt met betrekking tot de uitvoering van de taken. De FG heeft een belangrijke coördinerende rol en adviseert over oplossingen over privacy. Vanuit een onafhankelijke positie houdt de FG intern toezicht op de manier waarop door de organisatie wordt omgegaan met persoonsgegevens.

De FG is het formele aanspreekpunt voor betrokkenen als zij hun rechten willen uitoefenen.

De taken van de FG zijn:

  1. toezicht houden op de verwerking van persoonsgegevens en naleving hiervan door de organisatie;
  2. toezicht houden op het privacy- en beveiligingsbeleid van de organisatie en de naleving hiervan door middel van advisering en controles;
  3. het gevraagd en ongevraagd adviseren en informeren van de organisatie en de organisaties die namens de organisatie persoonsgegevens verwerken (‘Verwerkers’) over hun verplichtingen op grond van de Algemene Verordening Gegevensbescherming, andere EU wet- en regeling en nationale bepalingen omtrent gegevensbescherming en overige onderwerpen die de privacy betreffen;
  4. zorgdragen voor de inventarisatie van de verwerkingsprocessen en het beheren van verwerkingen in het Register van Verwerkingsactiviteiten;
  5. het coördineren van de meldingen en acties in geval van datalekken en het beheren van het logboek en register inzake datalekken;
  6. het zijn van aanspreekpunt en contactpersoon aangaande privacy, voor zowel de Autoriteit Persoonsgegevens, de interne organisatie als externe organisaties en betrokkenen;
  7. het toezien op toewijzing van verantwoordelijkheden, bewustmaking en opleiding van bij de verwerking betrokken medewerkers en de betreffende audits;
  8. het communiceren met medewerkers en leveranciers over alle ontwikkelingen op het gebied van techniek en wetgeving die relevant zijn voor het privacy- en beveiligingsbeleid van de organisatie;
  9. het geven van een bindend advies met betrekking tot de Gegevensbeschermingseffect-beoordeling (DPIA) en het toezien op de correcte uitvoering daarvan.

Indien een betrokkene zijn rechten op grond van de Algemene Verordening Gegevensbescherming wil uitoefenen of een klacht heeft ten aanzien van de verwerking van persoonsgegevens, dan zal de FG altijd worden betrokken in de besluitvorming ten aanzien van de uitoefening van deze rechten, en desgewenst een onafhankelijke bemiddelende rol spelen in de oplossing van de klacht.

Bevoegdheden: toezicht en onderzoek

Vanuit zijn onafhankelijke toezichthoudende functie dient de FG te beschikken over alle bevoegdheden die hem in staat stellen om zijn taken naar behoren uit te kunnen oefenen. De FG heeft bij twijfel of verschil van mening over de wijze waarop verwerkingen van persoonsgegevens dienen plaats te vinden de doorslaggevende stem.

De Verantwoordelijke en de personen die bij een verwerking van persoonsgegevens zijn betrokken verstrekken desgevraagd de FG alle inlichtingen en verlenen alle overige medewerking die hij voor de uitoefening van zijn taak behoeft. Hiervoor heeft de FG toegang tot alle ruimten, waar een verwerking van persoonsgegevens plaatsvindt. Ook is de FG bevoegd (de werking van) apparatuur, programmatuur, gegevensbestanden, boeken en bescheiden te onderzoeken.

De FG dient zelfstandig en onafhankelijk over zijn bevindingen aan de Verantwoordelijke te rapporteren. Daarbij geeft de FG aanbevelingen over te nemen maatregelen, die een goede werking van de verwerking van persoonsgegevens moeten helpen waarborgen. Verder kan de FG een onderzoek instellen naar de wijze waarop in verband met de verwerking van persoonsgegevens, in een bepaald geval dan wel in het algemeen belang, de persoonlijke levenssfeer wordt beschermd.

Indien de FG dit naar redelijkheid nodig acht, kan de FG kan voor zijn onderzoek gebruik maken van de diensten van derden.

Meldingenregister

Er gelden verplichtingen ten aanzien van het al dan niet melden van de wijze waarop bepaalde verwerkingen van of incidenten met persoonsgegevens plaatsvinden. Dit kan bestaan uit het melden van de verwerking of de registratie hiervan. Een voorbeeld hiervan is de melding en registratie van een datalek. De FG draagt namens de organisatie zorg voor de juiste en correcte melding en registratie van dergelijke verwerkingen van persoonsgegevens.

Voor de organisatie geldt een belangrijke verplichting om beveiligingsincidenten die kunnen of moeten worden aangemerkt als een datalek te melden bij de Autoriteit Persoonsgegevens. Indien het verlies of misbruik van persoonsgegevens betreft die ernstige nadelige gevolgen voor de betrokkene kunnen hebben, zal dit ook aan deze betrokkenen kenbaar moeten worden gemaakt. Deze incidenten dienen door de organisatie gedocumenteerd te worden. De FG houdt namens de organisatie dit logboek bij van (potentiële) datalekken.

In het logboek worden in ieder geval de volgende gegevens vermeld:

  1. een omschrijving van het datalek;
  2. de datum van het datalek;
  3. de duur van het datalek;
  4. de aard van de inbreuk;
  5. de instanties waar meer informatie over de inbreuk kan worden verkregen;
  6. de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk gevolgen te beperken;
  7. een beschrijving van de gevolgen voor de verwerkte persoonsgegevens;
  8. de maatregelen die de organisatie heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen;
  9. de kennisgeving aan betrokkenen.

Bekwaamheid van de FG

De FG dient bovengemiddelde vakkennis te hebben van privacywetgeving en van de praktijk van gegevensbescherming.

De vereiste expertise en vaardigheden omvatten in ieder geval:

  • kennis van nationale en Europese privacywet- en regelgeving over gegevensbescherming;
  • begrip van de gegevensverwerkingen die de organisatie uitvoert;
  • begrip van IT en informatiebeveiliging;
  • kennis van de organisatie en de sector waarin die actief is;
  • vaardigheden om binnen de organisatie een cultuur van gegevensbescherming te ontwikkelen.

De organisatie draagt er zorg voor dat de FG over de bovengenoemde expertise en vaardigheden beschikt en stelt de FG in staat zijn of haar kennis bij te houden door middel van het volgen van cursussen of opleidingen. De Verantwoordelijke stelt hiervoor budget en/of faciliteiten beschikbaar.

Aansprakelijkheid van de FG

De FG is niet persoonlijk aansprakelijk als er binnen zijn organisatie een overtreding van de privacywet is. De Verantwoordelijke blijft te allen tijde aansprakelijk voor correcte naleving van de Algemene Verordening Gegevensbescherming.

Ontslagbescherming

De FG geniet ontslagbescherming voor de activiteiten die de FG in het kader van de uitoefening van zijn taak als FG verricht. Ook mogen de FG geen sancties worden opgelegd voor de activiteiten die de FG in het kader van de uitoefening van zijn taak als FG verricht.

Over de functie

Het toezien op de bescherming van persoonsgegevens in onze organisatie wordt belegd bij een Functionaris voor Gegevensbescherming (FG). De FG controleert op de naleving door de organisatie van het privacybeleid en de privacywetgeving. Vanaf de inwerkingtreding van de AVG per 25 mei 2018 moeten organisaties waar veelvuldig bijzondere persoonsgegevens worden verwerkt verplicht een FG aangesteld hebben, zo ook Habitus MZW.

Dienstverband:

4 tot 16 uur per week.

Salaris:

De inschaling geschiedt volgens CAO VVT, inschaling in FWG schaal 45-50 afhankelijk van de ervaring.

Meer informatie:

Heb je nog vragen over deze vacature? Neem dan contact op.

GEÏNTERESSEERD?

Nu solliciteer