Wat zijn de betekenissen van de afkoringen DPO / FG?
DPO staat voor Data Protection Officer. De Nederlandse benaming hiervan is de FG en deze staat voor Functionaris Gegevensbescherming.

Wat is een FG / DPO?
Een FG / DPO is een persoon die binnen een organisatie toezicht houdt op de naleving van de AVG / GDPR. Hij is ook de persoon die tevens fungeert als adviseur en aanspreekpunt omtrent het toepassen van de AVG / GDPR binnen een organisatie. Voor iedere organisatie van enige omvang is aan te raden om deze expert in dienst te hebben. De FG / DPO kan een organisatie helpen en adviseren in de omvangrijke materie van het gegevensbeschermingsrecht. In een aantal gevallen is het aanstellen van een FG / DPO verplicht.

Wanneer bent u verplicht om een FG / DPO aan te stellen?
Om te beginnen is een FG / DPO verplicht voor alle overheidsinstanties of overheidsorganen, behalve voor gerechten bij de uitoefening van hun rechtelijke macht. Echter is een private onderneming verplicht om een FG / DPO aan te stellen als het aan 1 van de volgende 2 gevallen voldoet:

• Het verwerken van bijzondere persoonsgegevens op een grote schaal. 

• Of het op grote schaal regelmatige en stelselmatige observeren van mensen.

Wat zijn bijzondere persoonsgegevens?
Bijzondere persoonsgegevens luiden als volgt: gegevens over ras, etnische afkomst, gezondheid, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond, iemands seksueel gedrag of geaardheid, of gegevens over strafrechtelijke veroordelingen en strafbare feiten.

Wanneer verwerkt een organisatie persoonsgegevens op “grote schaal”?
In de AVG / GDPR wordt niet gedefinieerd wat er wordt bedoeld met “verwerking op grote schaal”. De Europese privacy-toezichthouder geeft in zijn “Guidelines on Data Protection Officers” de volgende voorbeelden van op “grote schaal” verwerken van persoonsgegevens:

• Verwerking van persoonsgegevens met het oog op gedrag gerelateerde publiciteit door een zoekmachine.
• Verwerking van patiëntgegevens in het kader van de regelmatige bedrijfsvoering van een ziekenhuis.
• Verwerking van gegevens (content, surfgedrag, locatie) via aanbieders van internet- of telefoniediensten.
• Verwerking van klantgegevens in het kader van de regelmatige bedrijfsvoering van een verzekeringsmaatschappij of een bank.
• Verwerking van reisgegevens van personen die van het openbaar vervoerssysteem in een stad gebruikmaken (bv. tracering via reiskaarten).

Voor de bovenstaande soort verwerkingen is een organisatie verplicht om een FG / DPO aan te stellen.

Wanneer verwerkt u persoonsgegevens niet op “grote schaal”?
De Europese privacy-toezichthouder geeft enkele voorbeelden van verwerkingen die niet als grootschalig worden beschouwd:

• Verwerking van patiëntgegevens door een individuele arts.
• Verwerking van persoonsgegevens betreffende strafbare feiten door een individuele advocaat.

Voor de bovenstaande soort verwerkingen is een organisatie niet verplicht om een FG / DPO aan te stellen.

Grootschalig verwerking persoonsgegevens door gezondheidszorgaanbieders
De Nederlandse privacy toezichthouder heeft specifiek voor gezondheidszorgaanbieders verduidelijkt wanneer er sprake is van grootschalige gegevensverwerking. Verwerking door huisartsenpraktijken en instellingen voor medisch specialistische zorg (ziekenhuizen buiten beschouwing latend) wordt als grootschalig beschouwd als er meer dan 10.000 patiënten zijn ingeschreven of wanneer er gemiddeld meer dan 10.000 patiënten per jaar worden behandeld en de gegevens van deze patiënten in een centraal systeem zijn vastgelegd. De verwerking van persoonsgegevens van ziekenhuizen, apotheken (geen solistisch werkende zorgverlener), huisartsenposten en zorggroepen is altijd grootschalig.

Wanneer observeert u regelmatig en stelselmatig mensen?
Hoewel er geen definitie in de AVG / GDPR staat valt onder “regelmatig en stelselmatig observatie” in ieder geval elke vorm van tracking en profilering op internet of offline. De Europese privacy-toezichthouder geeft een aantal voorbeelden hiervan:

• Marketingactiviteiten op basis van gegevens
• Gedrag gerelateerd publiciteit
• E-mail retargetting
• Profilering
• Locatietracering (bijvoorbeeld via mobiele Apps’)
• Programma’s voor klantenbinding
• Trackingcookies of –apps
• Gekoppelde apparaten zoals slimme meters, domotica, enz.
• Closed circuit-television (Let op: hieronder valt ook camerabewaking)
• Telecommunicatiediensten leveren of telecommunicatienetwerk beheren

Voor de bovenstaande soort verwerkingen is een organisatie verplicht om een FG / DPO aan te stellen.

Het aanstellen van FG / DPO
Een FG / DPO is een soort verlengstuk van de Toezichthoudende autoriteit binnen een organisatie. De belangrijkste taak van de FG / DPO is kort gezegd ervoor zorgen dat de AVG / GDPR nageleefd wordt binnen een organisatie. Hij dient namelijk een aantal wettelijke taken te vervullen die in artikel 39 lid 1 AVG / GDPR zijn genoemd. Een FG / DPO dient aangewezen te worden op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen zijn wettelijke taken op grond van de AVG  /  GDPR te vervullen (art. 37 lid 5 GDPR). Een FG / DPO dient dus goed opgeleid te zijn in de omvangrijke en tamelijk ingewikkelde materie van de AVG / GDPR. Daarbij moet hij onafhankelijk zijn. Hij mag dus niet door het management te worden bewogen om bepaalde handelingen wel of niet te verrichten. Een FG / DPO kan ook in deeltijd worden aangesteld. Bijvoorbeeld een bedrijfsjurist die voor twee dagen per week wordt aangewezen als FG / DPO. Echter mag hij geen andere functie binnen de organisatie hebben die zou kunnen leiden tot belangenverstrengeling. Zoals bijvoorbeeld het hoofd van de afdeling business & development die 1 of 2 dagen per week ook als FG / DPO fungeert. Verder kan een FG / DPO meerdere onderdelen binnen een organisatie bedienen. Bijvoorbeeld een organisatie met filialen in 3 verschillende steden. Voor deze 3 filialen kan men 1 FG / DPO aanstellen voor alle onderdelen van de organisatie. Hoge kosten hoeven er dus niet aan verbonden te zijn. Aangezien de FG / DPO meerdere taken heeft, wordt hij in de praktijk vaak bijgestaan door een team privacy medewerkers. Ten slotte dient een FG / DPO als contactpersoon vermeld te worden in de privacyverklaring op de website van de organisatie, zodat betrokkenen zich met vragen of klachten tot hem kunnen wenden.

Heeft u een FG / DPO, advies of een privacy-specialist nodig?
Bent u een overheidsinstantie of een private organisatie? En bent u op zoek naar een deskundig FG / DPO? Dan bent u bij ons op het juiste adres. Wij hebben zeer ervaren FG’s / DPO’s in huis die u voor (on)bepaalde tijd kunt inhuren. Uiteraard kunt u bij ons ook terecht voor advies in het kader van de AVG / GDPR. Ook is het mogelijk om onze specialisten in te huren als privacy-medewerker/specialist. Neem hiervoor gerust en vrijblijvend contact met ons op!

De AVG / GDPR geldt voor ieder organisatie
Ieder organisatie ongeacht de omvang daarvan is verplicht de AVG / GDPR toe te passen. De AVG / GDPR geldt dus ook voor u als ZZP’er en ook voor al het midden en kleinbedrijf (mkb/KMO(in België)). Als u als ondernemer/bestuurder niet voldoet aan de AVG / GDPR, dan riskeert u hoge boetes, schadevergoedingen en reputatieschade. Wij kunnen u helpen om te volden aan de verplichtingen van de AVG / GDPR. Via deze link leest u snel,  eenvoudig en stap voor stap hoe wij u kunnen helpen.

Een DPIA uitvoeren
Wilt u een DPIA-onderzoek uitvoeren voor een bepaalde verwerking (zoals bijvoorbeeld het gebruik van cameratoezicht). Het verrichten van een DPIA kan zeer ingewikkeld zijn. Wij kunnen u daarbij helpen en deze last ontnemen. Wij hebben namelijk veel kennis en ervaring met het uitvoeren van DPIA-onderzoeken. Neem hiervoor gerust en vrijblijvend contact met ons op!

---

Let op: dit artikel bevat algemene informatie die niet gericht is op uw specifieke situatie. Derhalve kunnen er geen rechten aan worden ontleend.