Werkgever moet op zoek naar interne waakhond privacy

09-11-2017

Op 25 mei 2018 wordt de nieuwe Europese privacywetgeving van kracht en voor sommige organisaties kan dat betekenen dat ze dan een functionaris voor de gegevensbescherming moeten aanstellen. De nieuwe wet, de Algemene Verordening Gegevensbescherming (AVG), vervangt de nationale privacywetgeving van de lidstaten van de Europese Unie. Voor Nederland betekent de invoering van de AVG het einde van de Wet bescherming persoonsgegevens.

Aanstellen en aanmelden functionaris

Welke organisaties zijn nu verplicht om een functionaris voor de gegevensbescherming (fg) in dienst te nemen? De verplichting geldt voor:

• overheidsinstanties en publieke organisaties (waaronder zorg- en onderwijsinstellingen);
• organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen;
• organisaties die als kernactiviteit op grote schaal bijzondere persoonsgegevens verwerken.

Als een organisatie verplicht is een fg aan te stellen, kan zij hiervoor een werknemer aanwijzen of een externe expert inhuren. De fg moet in ieder geval veel weten over de gegevensverwerkingen in de organisatie, privacywetgeving en (digitale) beveiliging. De functie wordt wettelijk beschermd, omdat de functionaris vrij zijn werk moet kunnen doen. In de AVG zijn hiervoor dan ook beschermende bepalingen opgenomen. Zo mag de werkgever de fg niet ontslaan of straffen vanwege de uitvoering van zijn taken. Ook is de fg niet aansprakelijk voor een privacyovertreding van de organisatie. De werkgever mag zelfs geen instructies geven over de uitvoering van de functie.
De functionaris heeft op zijn beurt een aantal verplichte taken. Zo heeft de fg een geheimhoudingsplicht, moet hij zijn kennis op peil houden, moet hij worden aangemeld bij de Autoriteit Persoonsgegevens en moet hij met deze instelling samenwerken.