Functionaris voor gegevensbescherming: wat houdt het in en wanneer is deze functie verplicht?

Author info
Edwin Jacobs

Een functionaris voor gegevensbescherming (de officiële term), oftewel een data protection officer, is een functie of rol binnen een organisatie. De functionaris voor gegevensbescherming ziet toe op de verwerking van persoonlijke en privacygevoelige informatie.

Op het moment dat de Algemene Verordening Gegevensbescherming (General Data Protection Regulation, GDPR) in mei 2018 van toepassing wordt, is het voor bepaalde organisaties verplicht om een functionaris voor gegevensbescherming aangesteld te hebben.

In dit artikel lees je wat een functionaris voor gegevensbescherming precies doet, welke organisaties een data protection officer moeten aanstellen en waaraan een functionaris voor gegevensbescherming moet voldoen.

Wat doet een functionaris voor gegevensbescherming?

Het takenpakket van de functionaris gegevensbescherming bestaat onder andere uit het advies geven aan organisaties hoe zij de Algemene Verordening Gegevensbescherming niet overtreden, het trainen van medewerkers en het uitvoeren van interne audits. 

De functionaris gegevensbescherming fungeert bovendien als contactpersoon voor de toezichthoudende autoriteit en voor de individuen waar de data betrekking op heeft. Behoudens voor bepaalde (kleine) ondernemingen, zal de functionaris gegevensbescherming een register bijhouden van alle organisatieprocessen waarbij persoonlijke data wordt verwerkt. Dit register, dat ook informatie moet bevatten over het doel en de voorwaarden van de processen, kan ter beschikking worden gesteld van de toezichthoudende autoriteit.

Bij welke organisaties is een functionaris voor gegevensbescherming verplicht?

Artikel 35 van de Algemene Verordening Gegevensbescherming noemt enkele voorwaarden waarbij het vanaf mei 2018 verplicht is om een functionaris gegevensbescherming aan te stellen:

  • Publieke instellingen die persoonlijke data verwerken (behalve gerechtelijke instellingen);
  • Organisaties waarbij systematische monitoring van individuen onderdeel is van de core business;
  • Organisaties waarbij verwerking van specifieke datacategorieën (zoals gezondheidsdata of geloofsovertuiging) onderdeel is van de core business.

Deze voorwaarden houden in dat bedrijven die persoonlijke data verwerken geen databeveiligingsfunctionaris aan hoeven te stellen als deze processen geen onderdeel zijn van de kernactiviteiten van het bedrijf. Het bedrijf moet dan wel aan kunnen tonen dat de processen daadwerkelijk buiten de core business van de organisatie vallen.

Wie kan worden aangesteld als functionaris voor gegevensbescherming?

Er zijn geen specifieke eisen vastgesteld voor de functionaris gegevensbescherming. Wel moet de functionaris 'expert zijn op het gebied van gegevensbeschermingswetgeving'. De functionaris moet dus ruime ervaring hebben met privacybescherming, databeveiliging en bedrijfsprocessen. Daarnaast moet de organisatie erover waken dat de functionaris afdoende op de hoogte is van de relevante aspecten van de organisatie en de daarbij behorende structuren.

Dat impliceert dat bij de sommige bedrijven geen aparte functie zal worden gecreëerd, maar dat een bestaande medewerker de rol van functionaris gegevensbescherming op zich zal nemen. Hierbij moet er op worden toegezien dat er geen belangenverstrengeling ontstaat tussen de twee rollen van de medewerker. Iemand die in zijn bestaande functie al als datacontroller actief is, kan niet als functionaris gegevensbescherming worden aangesteld omdat ze al verantwoordelijk zijn voor veel dataverwerkende processen.

Voor organisaties met meerdere vestigingen of dochterondernemingen is het mogelijk om één functionaris aan te stellen voor de gehele keten.

Externe functionaris gegevensbescherming

Het nadeel van een interne functionaris gegevensbescherming is dat een nieuwe medewerker moet worden getraind en ingewerkt als de bestaande functionaris het bedrijf verlaat. 

De Algemene Verordening Gegevensbescherming voorziet daarom ook in de mogelijkheid om een externe professional aan te stellen als functionaris voor gegevensbescherming.

Het aanstellen van een externe functionaris gegevensbescherming is een goede oplossing voor kmo's en organisaties die zelf weinig kennis over databeveiliging in huis hebben. 

Deze rol kan worden vervuld door een privacyrecht advocaat van time.lex. Wij zijn voortdurend op de hoogte van nieuwe ontwikkelingen op het gebied van internationale regelgeving omtrent privacy. Neem voor meer informatie vrijblijvend contact met ons op.