De rol van de FG in het licht van de Algemene Verordening Gegevensbescherming

Met de implementatie van de Algemene Verordening Gegevensbescherming (AVG, Verordening 2016/679 van 27 april 2016, O.J 119/1) van kracht wordend op 25 mei 2018, zal de rol van Functionaris voor de Gegevensbescherming werkelijk zichtbaar worden.

Met zijn adoptie in 1996, richtte de Directive 95/46/EC on the protection of personal data zich op het initiëren van een spirit van compliance ten aanzien van privacy en persoonsgegevens over de lidstaten. Binnen de richtlijn, was de FG eigenlijk al gevestigd in zijn rol, maar had nog steeds een tamelijk belangrijk portfolio aan te leggen en taken in zaken. Parallel daaraan, Regulation (EC) 45/2001 welke toepasselijk is voor EU instituten, instanties en agentschappen in het veld van gegevensbescherming, leverde eigenlijk meer handvatten en zichtbaarheid voor de FG-rol. Dit was in het bijzonder gedaan via zijn rol met de Europese Toezichthouder voor gegevensbescherming (EDPS), een toegewijd EU instituut in het veld van gegevensbescherming welke een hoofdrolspeler werd door de jaren heen in verbondenheid met de AVG.

Op het nationale niveau, was de FG eigenlijk gezien als alleen maar een verbindingsmedewerker tussen een bedrijf en de lokale gegevensbeschermingsautoriteit. De AVG plaatst de FG niet meer als een verbindingsofficier, maar meer als een expert op een onderwerp van uw bedrijf of bedrijfsvoering.

Een speciale status binnen uw organisatie

Indien we snel door de AVG heen lopen, dan tellen we ongeveer 30 keer de term ‘Functionaris voor de Gegevensbescherming’ verspreid binnen de spread overwegingen, hoofdstukken, titels en recente voorzieningen. Alhoewel Sectie 4 (Artikelen 37 tot 39 van Verordening 2016/679) werkelijk omgaat met de aanwijzing, aard en taken van de FG, is de rol eveneens aanwezig in instrumenten als het Register (Art. 30) of de co (PIA, Art.39 – de methodologie van Gegevensbeschermingseffectbeoordeling zal het onderwerp zijn van een onderscheidend artikel). Het is eveneens aanwezig binnen andere sectie zoals Aanwijzing 77 en 97. Aanwijzing verwijst, bijvoorbeeld, naar de onafhankelijkheid van de FG.

Wat al het bovenstaande betekent is dat de FG uw betrouwbare adviseur is aangaande privacy en gegevensbescherming, in het bijzonder als uw corebusiness gebaseerd is op het verwerken van persoonsgegevens, zoals bankieren, verzekeren, zorg of IT. Niet alleen zal de FG in staat zijn u te adviseren als een advocaat in zaken (bijv. begeleiding), maar daar aan toegevoegd, de FG zal tevens in staat zijn u voor de implementatie van de gegevensverwerking (bijv. het bouwen). Dit is waar de volledige kracht van de FG erg van pas komt: u dient zich ervan te verzekeren dat de functie adequaat wordt gebruikt.

Vaardigheden en deskundigheid van de FG: Een one-stop-shop

De FG kan worden gezien als een one-stop-shop of, als u meer van kaperen houdt, een Zwitsers legermes. In grotere bedrijven, heeft de FG waarschijnlijk een meer juridische achtergrond, maar de functie is niet totaal gebaseerd op deze vaardigheid. Inderdaad, de verscheidenheid van beoordelingstechnieken in de AVG geeft aan dat, bijvoorbeeld, een juridisch persoon met de geest van een auditor (of andersom), wie sterke communicatievaardigheden heeft en begrip van IT en beveiligingsontwikkelingen kan waarschijnlijk zijn of haar taken goed uitvoeren.

Audit en adviseringstechnieken zullen nodig zijn als de FG betrokken is bij gegevensverwerkings-beoordelingen, zoals de PIA hierboven genoemd. In deze zaak zullen, planning, analyseren en navolgen een paar van deze belangrijke vaardigheden zijn.

Daarnaast, is het de taak van de FG voldoende bewustzijnsniveau van gegevensbeveiliging binnen het bedrijf te houden (Artikel 39.1.b van de Verordening 2016/679). Men kan bediscussiëren dat hoe meer de business afhangt van persoonsgegevens, hoe meer het vergroten van bewustzijn essentieel wordt. Hier zullen communicatievaardigheden net zo belangrijk zijn als raadgeven. Door te informeren, onderwijzen en delen over gegevensbescherming, zoekt de FG om onjuistheden te verminderen als het persoonsgegevens gaat. Enigszins verbonden, kunnen we Dag van de Gegevensbescherming in Europa, elke 28 januari, de verjaardag van Convention 108 of the Council of Europe on personal data.

Tenslotte, in het geval dat uw bedrijf software en technologie bouwt of samenstelt, dan wilt u dat de FG gaat praten met de IT afdeling. Het is erkend dat in kleinere bedrijven (bij. MKB), de FG zou een lid van de IT-afdeling kunnen zijn. Dit geeft toegevoegde waarde, omdat technologie omgeeft ons allen. Een praktisch voorbeeld van de rol van de FG is gesteld in de PIA. Terwijl de FG zal worden geïnformeerd over uw beleid en andere wettelijke beheersmaatregelen, zal de FG de dreigingen beoordelen, risico en veiligheidsmaatregelen van de software dat persoonsgegeven gebruikt. Met andere woorden, het beoordelen van de risico’s van een datalek voor een cloud computing-oplossing vereist de interesse in technologie door de FG.

De oorspronkelijke missie: Te beschermen en te adviseren

De allereerste missie van de FG is om te verzekeren dat het verwerken van persoonsgegevens geen nadelige gevolgen heeft voor de natuurlijke personen (data subjects). Het is een tamelijk technische uitdrukking om simpelweg te zeggen dat een FG niet post factum mag interveniëren, dat als de verwerking eenmaal is geïmplementeerd. Als aangestipt hierboven, de ware kracht van de FG is niet raad te geven als het kwaad is geschied, maar te adviseren over de beste werkwijzen en “privacy by design” and “privacy by default” in te bouwen.

Deze twee uitdrukkingen betekenen simpelweg dat het verwerken van persoonsgegeven een aantal waarborgen dient te incorporeren, welke vanaf het begin onafhankelijk gevalideerd worden door de FG. Door dit niet te doen kan het leiden tot een snellere implementatie, maar ten koste van een negatieve beoordeling door de FG. Het kan eveneens resulteren in kosten van juridische en financiële sancties. Met de FG, het risico is nu hoog: jouw proces gevalideerd krijgen door de FG of uw Privacyraad voor de implementatie is het waard. U dient eenvoudig deze persoon te betrekking in vergaderingen en beoordelingen terwijl u de verwerking aan het testen bent.

Als CEO, u kunt zichzelf voorstellen in de stoel van “Wie wil een Miljonair zijn,” terwijl het publiek de FG helpt door een ‘een vriend te bellen’ elke keer wanneer u problemen heeft met uw verwerking.  De gastheer tegenover u is de Nationale Autoriteit Gegevensbescherming. U dient goede antwoorden te geven, dus u dient waarborgen te incorporeren die in lijn zijn met ontwerp van gegevensbescherming en gegevensbescherming door standaardinstellingen.

Om de fasen te leren via welke de FG de AVG zal implementeren, download deze gratis Diagram van het EU AVG implementatieproces.