De functionaris gegevensbescherming (FG) houdt binnen zijn of haar organisatie toezicht op de toepassing en naleving van de Algemene verordening gegevensbescherming (AVG), maar in de praktijk blijkt dat FG’s niet of te laat betrokken worden bij plannen over gegevensverwerking, niet de juiste documentatie ontvangen of onvoldoende tijd krijgen om te kunnen doen wat er van hen wordt verwacht, aldus de Autoriteit Persoonsgegevens (AP).
De privacytoezichthouder is daarom met een nieuw document gekomen waarin het concrete uitgangspunten benoemt voor de rollen, processen en verantwoordelijkheden van de FG en de organisaties waarin ze opereren (pdf). "De invulling van het interne toezicht is lang niet bij alle organisaties goed genoeg geregeld. Hierdoor lopen burgers, patiënten en klanten het risico dat gegevens niet goed beschermd worden", zo laat de AP weten.
Zo moeten organisaties hun FG in een vroeg stadium betrekken, moet de FG goed zichtbaar zijn binnen de organisatie en direct, zonder tussenkomst van anderen, benaderbaar en aanspreekbaar zijn. Ook voor personen van buiten de organisatie. Verder moeten organisaties faciliteren dat de FG kan ingrijpen bij privacyproblemen en moet de onafhankelijke positie van de FG zijn gewaarborgd.
Overheidsinstanties en publieke organisaties zijn sinds de invoering van de AVG altijd verplicht om een FG aan te stellen, ongeacht het type gegevens dat ze verwerken. Daarnaast geldt de verplichting om een FG aan te stellen voor organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen en voor organisaties die als kernactiviteit op grote schaal bijzondere persoonsgegevens verwerken.
"Door FG’s op de goede manier te positioneren, kunnen zij een nog grotere rol spelen bij het voorkomen én oplossen van privacyproblemen", zegt Katja Mur, bestuurslid van de AP.
Deze posting is gelocked. Reageren is niet meer mogelijk.