De functionaris voor gegevensbescherming (FG)

Onder de Algemene Verordening Gegevensbescherming (AVG) is het in bepaalde gevallen verplicht een functionaris voor gegevensbescherming te benoemen. Een functionaris voor gegevensbescherming (FG) houdt toezicht op de naleving van de AVG. Deze FG mag een medewerker in dienst zijn, maar mag ook extern worden ingehuurd (bijvoorbeeld op basis van een dienstverleningsovereenkomst). De voornaamste taak van de FG is erop toe te zien dat de AVG wordt nageleefd. De FG heeft op grond van de AVG verschillende taken die in elk geval bij hem/haar zijn belegd.

Wat is een Functionaris voor gegevensbescherming?

Een functionaris voor gegevensbescherming (FG) houdt toezicht op de naleving van de AVG, de Algemene Verordening Gegevensbescherming (AVG). Deze FG mag een medewerker in dienst zijn, maar mag ook extern worden ingehuurd (bijvoorbeeld op basis van een dienstverleningsovereenkomst).

De taken van een FG

De voornaamste taak van de FG is erop toe te zien dat de AVG wordt nageleefd. De FG heeft op grond van de AVG tenminste de volgende taken:

  • de organisatie/zorginstelling informeren en adviseren over hun verplichtingen op grond van de AVG;
  • toezien op de naleving van de AVG en het interne beleid van de organisatie/zorginstelling;
  • desgevraagd advies verstrekken over de gegevensbeschermingseffectbeoordeling (meer informatie hierover volgt in onze nieuwsbrief van april) en toezien op de uitvoering daarvan;
  • samenwerken met de Autoriteit Persoonsgegevens en tevens ook als contactpunt fungeren;
  • verslag uitbrengen over de uitvoering van zijn taken.

Hoewel de FG toeziet op de naleving van de AVG, is de organisatie/zorginstelling de eindverantwoordelijke voor de naleving van de AVG en moet zij tevens kunnen aantonen dat deze ook nageleefd wordt.

Is een FG voor mijn organisatie of zorginstelling verplicht?

De AVG stelt dat een FG moet worden aangesteld als een organisatie of zorginstelling:

  1. een overheidsorgaan/instantie is; of
  2. hoofdzakelijk belast is met verwerkingen die bestaan uit het op regelmatige basis stelselmatig observeren van betrokkenen op grote schaal; of
  3. hoofdzakelijk belast is met grootschalige verwerkingen van bijzondere categorieën van persoonsgegevens en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten.

Voor een organisatie/zorginstelling is het belangrijk om op de volgende voorwaarden te letten:

  • “hoofdzakelijk belast”: dit heeft te maken met de kernactiviteiten van de organisatie/zorginstelling. De verwerking van gegevens over de gezondheid van patiënten is bijvoorbeeld de kernactiviteit van een zorginstelling;
  • “op regelmatige basis stelselmatig observeren”: hiervan kan sprake zijn als een bedrijf/zorginstelling de betrokkenen over een bepaalde periode volgt en persoonsgegevens over hen vastlegt;
  • “grote schaal”: dit begrip is niet zodanig in de AVG opgenomen. Op dit moment zijn hiervoor ook nog geen exacte criteria bekend. Een organisatie/zorginstelling zal dit zelf moeten beoordelen. Wel heeft de Europese Privacy toezichthouders aangegeven dat een ziekenhuis wel een organisatie is die op grote schaal persoonsgegevens verwerkt. De handleiding Algemene verordening gegevensbescherming geeft een aantal handvatten om te beoordelen of een organisatie/zorginstelling voldoet aan “op grote schaal” gegevens verwerken:
    • het aantal betrokkenen;
    • de hoeveelheid gegevens die een organisatie/zorginstelling verwerkt;
    • de duur of het permanente karakter van de gegevensverwerking;
    • de geografische omvang van de verwerking.
  • “Bijzondere categorieën”: bijzondere categorieën persoonsgegevens zijn bijvoorbeeld gegevens over de gezondheid, gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid, gegevens waaruit ras of etnische afkomst, politieke opvattingen blijkt.

De bovenstaande criteria dienen te worden getoetst door de organisatie/zorginstelling. Voldoet de organisatie/zorginstelling hieraan, dan dient een FG te worden benoemd.

Belangrijk voor zorginstellingen

Elektronisch uitwisselingssysteem en FG

Op 1 januari 2018 is het Besluit elektronische gegevensverwerking door zorgaanbieders in werking getreden. In dit besluit worden de regels bij het elektronisch uitwisselen van persoonsgegevens door zorginstellingen gesteld. Het besluit schrijft voor dat een zorginstelling, die gebruikt maakt van een zorginformatie- of elektronische uitwisselingssysteem én op grote schaal gegevens verwerkt, een FG benoemt. Zorginstellingen, die een dergelijke uitwisselingssysteem hebben en op grote schaal gegevens verwerken, dienen dus al vanaf 1 januari 2018 een FG te hebben benoemd.

Wil je weten of jouw organisatie of zorginstelling een FG moet benoemen? Of wil je hierover met ons sparren? Neem dan contact op met:
  • Deel dit bericht via: