Verantwoordingsplicht

Om relevante vragen en antwoorden te kunnen delen en zo bij te dragen aan het bewustzijn, is in 2018 deze site ingericht. Voor een verdere toelichting over de achtergrond verwijs ik graag naar deze pagina. Je kunt vragen aan me kwijt via 0653197362, via Sillo (https://app.siilo.com/qr/b6ffda6d) of een mailtje naar fg@robstadt.nl. Ik probeer ze binnen 2 dagen te beantwoorden. Incidenteel tref je een zelfde vraag (en antwoord) onder AVG BewustKlik hier voor meer inhoudelijke achtergrondinformatie over de AVG.

Vragen en antwoorden over mijn plichten als verwerkingsverantwoordelijke

 of

Plichten

“In reactie op een vraag aan een organisatie kreeg ik te horen: we hebben een FG aangesteld, maakt u zich maar geen zorgen. Met die AVG zit het bij ons wel goed.” Kan ik daar dan op vertrouwen?

Nee, zeker niet. In tegendeel zou ik bijna zeggen, want als dat beeld bestaat binnen een organisatie, is er iets mis. Net zo min als het aanstellen van een vertrouwenspersoon in een organisatie er voor kan zorgen dat een vertrouwensconflict opgelost wordt, is het aanstellen van een FG een garantie dat aan de AVG wordt voldaan.
De organisatie moet zorgen en aantonen(!) dat het “met de AVG wel goed zit”. Dat is niet de taak van een FG. De taak van de FG is er op toe te zien dat die bewering klopt en dat inderdaad aan privacywetgeving wordt voldaan. Op dat punt verschilt zijn rol dus niet met die van de Autoriteit Persoonsgegevens. Overigens kan een FG die rol alleen vervullen als hij daartoe, vanuit een onafhankelijke positie in staat wordt gesteld. Is de FG in dienst bij de organisatie, dan dreigt die onafhankelijkheid soms wel eens in de verdrukking te komen. Dat kan dan een uitdaging betekenen voor zowel de organisatie, maar zeker ook voor de FG. Zie ook deze vraag over wat een FG moet weten en kunnen en deze over het bieden van zekerheid

11-12-2018 Update
In aanvulling op het bericht van 31-05-2018 heeft de Autoriteit een aanvullend bericht gepubliceerd over het begrip grootschaligheid.

Op 31-05-2018 heeft de Autoriteit Persoonsgegevens een nadere duiding gegeven aan het abstracte begrip ‘grootschaligheid’. (Zie berichtgeving). Het is verstandig om bij het vaststellen van het aantal personen waarvan je (bijzondere) persoonsgegevens verwerkt ook rekening te houden met persoonsgegevens in je archieven.

De nieuwe aanmeldprocedure voor de Functionaris voor de Gegevensbescherming via de site van de Autoriteit Persoonsgegevens die op 4 april is geïntroduceerd (zie deze vraag) functioneert nog niet helemaal volgens verwachting. Tijdens een overleg met de AP op 18-04 j.l. is door de Autoriteit gemeld dat alle aanmeldingen nog deze maand zullen worden bevestigd. 

Tot voor kort kon je daarvoor een speciaal aanmeldformulier gebruiken. Vanaf 04-04-2018 moet dat via een daartoe ingerichte pagina op de site van de AP. Tegelijkertijd wordt het huidige FG register opgeschoond. In verband met de AVG wil de AP nu bijvoorbeeld ook weten of het aanstellen van de FG op vrijwillige basis geschied of dat sprake is van een verplichting tot aanmelding. Alle FG’s moeten daarom opnieuw worden aangemeld bij de AP (Art. 37 lid 7)

Ook het te raadplegen register op de site van de AP verdwijnt. Op grond van de AVG zijn verantwoordelijken en verwerkers dan namelijk verplicht om zelf de contactgegevens van hun FG te publiceren.

Aanmelden is mogelijk via het aanmeldingsformulier functionaris voor de gegevensbescherming (FG). Let op: alle FG-aanmeldingen (ook die recentelijk zijn gedaan), komen dus per 25 mei 2018 te vervallen!

Op de site van de Autoriteit Persoonsgegevens wordt aangegeven wat de competenties (dienen te) zijn van een Functionaris voor de Gegevensbescherming, onder welke condities deze zijn werkzaamheden moet kunnen vervullen en wordt de onafhankelijke rol van een FG benadrukt.

Theoretisch kan dat. Praktisch gezien heeft dat wel een aantal consequenties. Uiteraard dient de FG te beschikken over de nodige competenties. Op de site van de Autoriteit Persoonsgegevens wordt aangegeven wat een FG moet weten en kunnen.  Een FG dient in staat te zijn/te worden gesteld om zijn rol als onafhankelijk toezichthouder en adviseur uit te voeren. Ook zijn positie binnen een organisatie dient onmiskenbaar aantoonbaar onafhankelijk te zijn.  Door de  toezichthouder worden ook een aantal voorwaarden genoemd waaraan moet worden voldaan om die onafhankelijkheid te borgen.

  • De FG mag geen instructies krijgen hoe hij zijn taken als FG moet uitvoeren.
  • De FG mag niet worden ontslagen of worden gestraft als gevolg van de uitoefening van zijn FG-taken.
  • Er mag geen belangenverstrengeling zijn tussen de FG-taken en de eventuele andere taken of functies van de FG.

Om die belangenverstrengeling te voorkomen, mag de FG binnen de organisatie niet ook een functie hebben waarin hij het doel en de middelen van een gegevensverwerking bepaalt. Dit kan bijvoorbeeld zo zijn als de FG een managementpositie vervult, zoals hoofd financiën, strategie, marketing, IT of HRM.

De praktijk leert, dat meer dan eens de signalen of adviezen van een FG  worden genegeerd of ondergeschikt worden gemaakt aan andere prioriteiten. Dat leidt soms tot spanningen en conflicten tussen een FG en het management van een organisatie. Daar moet het management mee om kunnen gaan, maar ook een FG.

Vraag 3 van de Regelhulp AVG   luidt:

3. Heeft u een functionaris gegevensbescherming nodig?

Onder de AVG kunt u verplicht zijn om een functionaris voor de gegevensbescherming (FG) aan te stellen. Dit is iemand die binnen uw organisatie toezicht houdt op de toepassing en naleving van de AVG. Als u één of meerdere van onderstaande vragen met ‘ja’ beantwoordt, bent u in elk geval verplicht om een FG aan te stellen.

Verwerkt u bijzondere en/of strafrechtelijke persoonsgegevens op grote schaal en is dit een kernactiviteit van uw organisatie?

Als zorgverlener verwerkt u bijzondere persoonsgegevens. Echter is onduidelijk wat met “op grote schaal” wordt bedoeld. Verwijzend naar een andere vraag moet ik het antwoord (nog) schuldig blijven.

Update: zie de meest recente berichtgeving over het begrip ‘grootschaligheid’ van de Autoriteit Persoonsgegevens.

11-12-2018 Update
In aanvulling op het bericht van 31-05-2018 heeft de Autoriteit een aanvullend bericht gepubliceerd over het begrip grootschaligheid.

Op 31-05-2018 heeft de Autoriteit Persoonsgegevens een nadere duiding gegeven aan het abstracte begrip ‘grootschaligheid’. (Zie berichtgeving). Het is verstandig om bij het vaststellen van het aantal personen waarvan je (bijzondere) persoonsgegevens verwerkt ook rekening te houden met persoonsgegevens in je archieven.

De tekst van de AVG is op dit punt op dit moment (nog) niet geheel duidelijk. Aangegeven wordt dat een ziekenhuis wel verplicht is om een FG aan te stellen, maar een individuele huisarts niet. Over samenwerkingsverbanden van meerdere zorgprofessionals worden echter geen uitspraken gedaan. Een aantal criteria zijn van belang bij de toets of je als organisatie verplicht bent of niet. De aard van de gegevens (gegevens over gezondheid zijn bijzonder gevoelige gegevens), is de verwerking een kernactiviteit en vindt verwerking plaats op grote schaal. Een Europese richtlijn moet helderheid verschaffen maar doet dat niet echt. Via een speciale pagina van de Autoriteit Persoonsgegevens wordt iedereen geïnformeerd over de ontwikkelingen.

Neem ook een kijkje op de site van de AVG Helpdesk Zorg Welzijn & Sport