Van 31 mei tot en met 12 juni publiceren we elke dag een artikel over de implementatie van de AVG. Geschreven door Marius van Rijswijk, senior consultant bij Verdonck, Klooster & Associates (VKA). Marius spreekt 14 juni op het Nieuwspoort Seminar ‘AVG-Proof in 10 kwartier voor kinderopvang, basisscholen en kindcentra’. Na de inleiding van gisteren vandaag het 1e artikel.
Artikel 1: Heeft mijn organisatie wel écht een Functionaris voor Gegegevensbescherming nodig?
Een belangrijke rol binnen de privacyorganisatie is weggelegd voor de privacy officer of ‘Functionaris voor Gegevensbescherming’ (FG). Maar wat moet deze eigenlijk doen en wanneer is deze verplicht? En met het aanstellen van een FG bent u er niet, want wie is er bestuurlijk eindverantwoordelijk voor privacy? En wat is de rol van stafmanagers (bijvoorbeeld op het gebied van HR, ICT en inkoop) en van de lijnmanagers? Het is belangrijk om vast te stellen welke plaats een FG inneemt binnen de structuur en het beleid van uw organisatie en wat de logische taken, rollen en verantwoordelijkheden zijn voor medewerkers en managers.
In een aantal situaties verplicht de AVG dat u een FG aanstelt. Maar, ook als dit wettelijk niet verplicht is, kan het aan te bevelen zijn iemand aan te wijzen die verantwoordelijkheid draagt voor het naleven van de privacyregels. Het is ook mogelijk om een externe privacy officer of FG aan te wijzen. Kijk wat passend is voor uw organisatie.
Het is belangrijk om te beoordelen of er binnen jouw organisatie een dergelijke functionaris moet worden aangesteld. Overheidsinstellingen moeten een FG aanstellen en ook organisaties die doen aan stelselmatig observeren. Een andere situatie waarin organisaties verplicht een FG moeten aanstellen is in het geval van het verwerken van bijzondere persoonsgegevens (b.v. gegevens over gezondheid, het BSN, ras, politieke voorkeur, sexuele voorkeur, biometrische gegevens) op grote schaal en als dit de kernactiviteit is van de organisatie. Denk hierbij een zorginstellingen, ziekenhuizen e.d. Veel MKB-ers, die werkzaam zijn in de zakelijke dienstverlening, industrie of voornamelijk in de B2B sector, vallen buiten deze categorie. Veelal zullen zij namelijk niet grootschalig bijzondere persoonsgegevens verwerken. Wat precies bedoeld met ‘grootschalig’ vertelt de AVG overigens niet. Het is ook lastig om hier een getalscriterium aan te hangen. Er is dus een groot grijs gebied waarin u zelf moet bepalen of u een FG aanstelt.
Als u niet verplicht bent er een aan te stellen kan het nog steeds verstandig zijn om een functionaris aan te wijzen. Dit zal dan vaak gepaard gaan met het vaststellen van de rollen en verantwoordelijkheden van de, bij privacy betrokken, functionarissen zoals de security officer, juridische zaken, ICT e.d. Hiervoor kan gebruik gemaakt worden van het zogenaamde RACI-model. Dit is een matrix die gehanteerd wordt om de rollen en verantwoordelijkheden van de personen weer te geven. In de matrix staan dan op de horizontale as de namen van de personen of de functionele rollen, en op de verticale as de op te leveren resultaten, betrokken processen of activiteiten. Zo is voor iedereen duidelijk hoe de verantwoordelijkheden rondom privacy zijn belegd.
In het volgende artikel wordt ingegaan op de verwerkingen en grondslagen daarvoor in de wet. Heeft u als organisatie in beeld in welke systemen, welke gegevens zitten? En, mag u deze gegevens eigenlijk wel hebben?