Sinds het inwerkingtreden van de Algemene Verordening Gegevensbescherming (AVG) zie je hem overal: de Functionaris Gegevensbescherming (FG). Het hebben van een FG – vaak ook Data Protection Officer of DPO genoemd – is nu voor veel bedrijven verplicht. Maar waarom eigenlijk? En wat doet een FG precies?

Wanneer stel je een FG aan?

Veel organisaties verwerken gegevens van klanten of medewerkers. Sinds de AVG van toepassing is, gelden hiervoor strengere regels. Organisaties die persoonsgegevens verwerken, moeten genoeg juridische, technische en organisatorische maatregelen nemen om de privacy van anderen te beschermen.

Voor sommige organisaties, die persoonsgegevens op grote schaal verwerken of bijzonder gevoelige gegevens verwerken, gelden nog strengere regels. Een goed voorbeeld hiervan is een ziekenhuis, dat patiëntendossiers van tienduizenden mensen verwerkt. Hierin staan niet alleen ‘normale’ persoonsgegevens (naam, adres, telefoonnummer, etc.), maar ook medische data. Patiënten kunnen natuurlijk veel schade lijden, als dit soort informatie op straat komt te liggen. Organisaties zoals ziekenhuizen moeten daarom bijzondere veiligheidsmaatregelen nemen – waarvan een het aanstellen van een FG is.

Je eigen privacy specialist

Een FG is een privacy specialist. Hij is ervoor verantwoordelijk om bij zijn werkgever aan de bel te trekken als er ergens binnen de organisatie iets misgaat op privacy gebied. Ook moet hij datalekken melden bij de Autoriteit Persoonsgegevens (AP), die toezicht houdt op de naleving van de AVG. De FG stelt samen met zijn werkgever een privacybeleid op en zorgt ervoor dat de organisatie aan de voorschriften van de AVG voldoet.

Als je een FG aanstelt, dan brengt dat ook verantwoordelijkheden met zich mee. Je moet er bijvoorbeeld voor zorgen dat de FG voldoende middelen heeft om zijn werk goed te doen. Dus je moet hem of haar genoeg tijd en geld geven. Daarnaast is de FG verplicht om klachten die hij ontvangt geheim te houden.

Als werkgever heb je bovendien de plicht om de FG direct in te lichten als er beslissingen moeten worden genomen, waarbij privacyvragen aan de orde komen. Je moet de FG dan om advies vragen. Ook bij een datalek moet de FG snel op de hoogte worden gesteld. Hij kan dan een melding maken bij de AP.

Kortom, met een FG haal je niet alleen een privacyadviseur, maar ook extra verantwoordelijkheden in huis. Voldoe je als werkgever niet aan je verplichtingen, dan kan dat tot hoge boetes leiden. De AP kan boetes van maar liefst 20 miljoen euro of 4% van je jaaromzet opleggen.

Heb je dringende privacyvragen? Weet je niet zeker of je een FG nodig hebt? Doe dan onze gratis privacycheck, zodat wij kunnen kijken waar mogelijke knelpunten liggen.