Onder de AVG kunnen bedrijven en instellingen verplicht zijn om een functionaris voor de gegevensbescherming (FG) aan te stellen. Bepaal alvast of dit voor uw organisatie geldt. Zo ja, wacht dan niet te lang met het werven van een FG. Uiteraard mag uw organisatie ook vrijwillig een FG aanstellen.
Grootschalige verwerking van bijzondere persoonsgegevens
Eén van de situaties waarin het verplicht is een FG aan te stellen is wanneer een organisatie/instelling hoofdzakelijk belast is met grootschalige verwerking van bijzondere persoonsgegevens, zoals gegevens over de gezondheid van een betrokkene.
Wat wordt verstaan onder grootschalige verwerking van bijzondere gegevens? De AP heeft hier eind 2018 een concrete norm voor afgegeven. De verwerking van persoonsgegevens door ziekenhuizen, huisartsenposten en zorggroepen interpreteert de AP altijd als grootschalig. Voor de overige zorgaanbieders, geldt dat zij grootschalig persoonsgegevens verwerken als de praktijk of instelling meer dan 10.000 patiënten heeft ingeschreven of als die gemiddeld meer dan 10.000 patiënten per jaar behandelt en de gegevens van deze patiënten in één informatiesysteem staan.
Aan beide voorwaarden moet zijn voldaan. Maar let op: zowel de AP als de andere Europese toezichthouders stellen zich op het standpunt dat het aanstellen van een FG altijd de voorkeur heeft, verplicht of niet.
Bent u verplicht een FG aan te stellen (maar uiteraard ook als u dit vrijwillig doet), dan stelt de AVG voorwaarden aan zowel de aanstelling en de positie van de FG als aan de taken die de FG moet uitvoeren.
Een paar tips:
- Stel vast of u verplicht bent een FG aan te stellen. Komt u tot de conclusie dat de verplichting niet voor uw organisatie geldt, leg dan ook vast waarom niet. Er kan hierom gevraagd worden;
- Stel vast of u een FG in dienst wilt nemen of dat u deze functionaris inhuurt;
- Bepaal op welke wijze uw organisatie kan voldoen aan de eisen die worden gesteld aan de deskundigheid, taken en positie van de FG;
- Een FG mag alleen aangewezen worden op grond van zijn professionele kwaliteiten en zijn deskundigheid op het gebied van de wetgeving én de praktijk inzake gegevensbescherming. Zorg dat de FG een goede opleiding heeft gevolgd;
- De organisatie zal moeten onderzoeken of de kandidaat FG ook daadwerkelijk over deze deskundigheid beschikt. Het is de verantwoordelijkheid van de organisatie om een FG aan te stellen die voldoet aan de eisen van de AVG. Voor de zorgsector geldt, dat kennis van de AVG alleen niet voldoende zal zijn. De FG moet ook kennis hebben van andere wet- en regelgeving waarin bepalingen zijn opgenomen ten aanzien van het verwerken van persoonsgegevens (bijv. de Wkkgz, Wgbo en Jeugdwet). Kortom, zorg dat u een deskundige FG aanstelt die voldoende kennis heeft van gegevensbescherming, specifieke wetgeving maar ook van de aard en de context van uw gegevensverwerkingen;
- Maak afspraken met de FG over taken, positie, budget maar ook aan wie de FG moet rapporteren.
Meer informatie
Heeft u vragen of heeft u behoefte aan een afspraak? Neem gerust contact met ons op via +31 0 (70) 392 22 09 of info@duthler.nl.
