Is een functionaris gegevensbescherming verplicht?
Het kan voorkomen dat jouw organisatie verplicht is om een functionaris gegevensbescherming (ook wel ‘FG’ genoemd) te benoemen. Een FG houdt het beleid met betrekking tot de verwerking van persoonsgegevens in de gaten. Overheden zijn verplicht een FG aan te stellen. Organisaties die bijzondere persoonsgegevens verwerken, zoals zorginstellingen en ziekenhuizen, zijn net als de overheid verplicht om een FG aan te stellen. Daarnaast zijn organisaties die grote aantallen persoonsgegevens verwerken, bijvoorbeeld telecommaatschappijen, ook verplicht tot het aanstellen van een FG, ook al zijn de persoonsgegevens die zij verwerken niet per se gevoelig of bijzonder.
De FG is ook het aanspreekpunt voor betrokkenen die hun rechten uitoefenen. De FG handelt als onafhankelijk adviseur van de onderneming, vergelijkbaar met een ondernemingsraad en is ook contactpersoon voor de Autoriteit Persoonsgegevens.
Wat moet verplicht worden bijgehouden?
De AVG verplicht organisaties om voor bewustwording over privacy bij hun werknemers te zorgen. Verlangd wordt dat medewerkers op de hoogte zijn van de privacyregels en de rechten die betrokkenen hebben. Dit kan vaak klassikaal of via een e-learning, maar in sommige gevallen zien medewerkers meer gevoelige gegevens. De privacykennis van de werknemer moet dan ook groter zijn.
Een andere maatregel is de invoering van de documentatieplicht en verantwoordingsplicht. Organisaties met in beginsel meer dan 250 werknemers zijn verplicht een register bij te houden waarin zij alle verwerkingen en soorten persoonsgegevens opnemen. Verwerkt jouw organisatie structureel ook bijzondere gegevens, hier kom je al snel aan zodra je werknemers in dienst hebt, dan geldt de verplichting tot het bijhouden van een register ook voor jou. Ook moeten de getroffen beveiligingsmaatregelen, bewaartermijnen en subbewerkers hierin worden opgenomen. Zo heeft de organisatie in één document of systeem een overzicht van de persoonsgegevens binnen de organisatie, waarom deze worden verwerkt en hoe daarmee omgegaan wordt.
Verder verdient het aanbeveling een gegevensbeschermingsbeleid op te stellen. Dit kan een organisatie op de website plaatsen, of intern beschikbaar stellen. Zo kunnen klanten, consumenten, leveranciers en ook werknemers zien hoe de organisatie met persoonsgegevens omgaat.
DPIA en beveiligingsverplichtingen
Vanuit de AVG is een organisatie verplicht om bij het ontwerp na te denken over de beginselen van privacy by design en privacy by default. De bedoeling van privacy by design is om bij de opstartfase van een nieuw product, proces of innovatie al de gevolgen op het gebied van privacy mee te nemen. Dit kan door het uitvoeren van een Data Protection Impact Assessment (DPIA), waardoor voorafgaand de privacyrisico’s in kaart worden gebracht. Op grond van deze uiteenzetting kunnen maatregelen getroffen worden om de risico’s te verkleinen.
Het is dan ook verstandig om, voordat je jouw product lanceert, deze al privacyvriendelijk in te richten en een DPIA af te nemen. De producten worden dan aangeboden op grond van beginselen van privacy by design dan wel privacy by default.
Naast voormelde maatregelen verlangt de AVG van ondernemers dat zij technische en organisatorische maatregelen treffen om de persoonsgegevens te beschermen. Het is dan ook van belang regelmatig de digitale beveiliging kritisch tegen het licht te houden, want dit maakt de kans op beveiligingsincidenten die een meldingswaardig datalek opleveren kleiner. Ga dan ook in overleg met de ICT-afdeling en onderzoek of op het gebied van beveiliging nog stappen te maken zijn.
