FG verplicht?

13 november 2017

FG

De FG (functionaris gegevensbescherming) oftewel de DPO (Data Protection Officer), een nieuwe verplichting onder de AVG.

Onder de Algemene Verordening Gegevensbescherming (AVG), die vanaf 25 mei 2018 van kracht wordt, moeten verschillende organisaties een FG (functionaris gegevensbescherming) aanstellen. Kort gezegd houdt een FG binnen de organisatie toezicht op de toepassing en de naleving van de AVG. In dit artikel zal worden ingegaan op de vraag welke organisaties een FG moeten aanstellen, welke organisaties vervroegd een FG moeten aanstellen en wat een FG voor uw organisatie kan betekenen.

De FG oftwel de DPO: voor wie?

Niet iedere organisatie hoeft een FG aan te stellen, dat is alleen verplicht als er gegevens worden verwerkt en:

  1. De verwerkingen wordt verricht door een overheidsinstantie of overheidsorgaan (behalve rechtbanken bij de uitoefening van hun rechtelijke taken);
  2. De verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of doeleinden regelmatig en stelselmatig geobserveerd moeten worden; of
  3. De verwerker hoofdzakelijk is belast met het verwerken van bijzondere persoonsgegevens of van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten.

Per 1 januari 2018 alvast voor zorginstellingen

De verplichte FG, die onder de Wbp overigens op vrijwillige basis mag worden aangesteld, wordt omarmd door de Nederlandse regering. In het Besluit elektronische gegevensverwerking door zorgaanbieders wordt de FG namelijk al gedeeltelijk vervroegd verplicht gesteld. Nederland doet dat om uitdrukking te geven aan het grote belang dat wordt gehecht aan een adequate en passende beveiliging van elektronische gegevensuitwisseling in de zorg en om vooruit te lopen op de AVG. Uit het Besluit elektronische gegevensverwerking door zorgaanbieders blijkt dat de volgende organisaties vervroegd een FG moeten instellen:

  1. Een verantwoordelijke voor een elektronisch uitwisselingssysteem. Een elektronisch uitwisselingssysteem is een systeem waarmee zorgaanbieders op elektronische wijze, dossiers, gedeelten van dossiers of gegevens uit dossiers voor andere zorgaanbieders raadpleegbaar kunnen maken, waaronder niet begrepen een systeem binnen een zorgaanbieder, voor het bijhouden van een elektronisch dossier.
  2. Een ‘instelling’ in de zin van de Wet kwaliteit, klachten en geschillen zorg. Zo’n instelling is (a) een rechtspersoon die bedrijfsmatig zorg verleent, of (b) een organisatorisch verband van natuurlijke personen die bedrijfsmatig zorg verlenen of doen verlenen of (c) een natuurlijke persoon die bedrijfsmatig zorg doet verlenen.

Alle zorginstellingen, waaronder ziekenhuizen en verpleeghuizen, krijgen dus te maken met de vervroegde verplichtstelling van de FG. Het Besluit elektronische gegevensverwerking door zorgaanbieders, waarin de FG verplicht wordt gesteld voor zorginstellingen, treedt waarschijnlijk op 1 januari 2018 in werking. Oftewel: werk aan de winkel!

Wat doet een FG?

De daadwerkelijke werkzaamheden van een FG zullen afhankelijk zijn van de organisatie waarin hij/zij werkzaam is en van de gegevensverwerkingen die daar plaatsvinden. De werkzaamheden zullen variëren van het adviseren over beveiliging en technologie, het inventariseren van gegevensverwerkingen, het houden van toezicht tot het leveren van input bij het opstellen of aanpassen van een gedragscode. Ook kan de FG vast aanspreekpunt zijn voor vragen van binnen en buiten de organisatie en kan de FG alle meldingen van gegevensverwerkingen bijhouden. Kortom, de FG kan een waardevolle bijdrage leveren aan de beveiliging van data in uw organisatie.

Conclusie

De FG wordt voor een groot deel van de zorginstellingen waarschijnlijk per 1 januari 2018 verplicht gesteld. Voor overige instellingen die aan de criteria van de AVG voldoen, is een FG per 25 mei 2018 verplicht. Vraagt u zich af of uw organisatie een FG nodig heeft of hebt u andere vragen gerelateerd aan de FG? Aarzel dan niet om contact met ons op te nemen.