De functionaris gegevensbescherming (FG) of data protection officer (DPO) is een functie bij organisaties die beschikken over privacygevoelige gegevens ten behoeve van het naleven van de Algemene verordening gegevensbescherming (AVG), een Europese verordening. De functie is specifiek beschreven en verplicht in bepaalde situaties, zoals vastgelegd in de AVG.
Onder de AVG is het aanstellen van een FG verplicht voor:
- Overheidsinstanties en publieke organisaties (behalve rechtbanken in hun rechterlijke taken).
- Organisaties die op grote schaal bijzondere categorieën van persoonsgegevens verwerken, zoals gegevens over gezondheid, ras, politieke opvattingen, enzovoort.
- Organisaties die op grote schaal en systematisch individuen monitoren, zoals bedrijven die gedragsgerichte advertenties plaatsen op basis van online tracking.
Een FG moet over deskundigheid beschikken op het gebied van gegevensbeschermingswetgeving en -praktijken. Dit betekent dat een FG een grondige kennis moet hebben van de AVG, IT-beveiliging, risicomanagement en eventueel relevante sectorale regelgeving.
De FG werkt nauw samen met de chief information security officer (CISO).
Hoofdtaken en verantwoordelijkheden van de FG zijn:
- Toezicht houden op naleving van de AVG:
- De FG controleert of de organisatie voldoet aan de regels van de AVG en andere relevante wet- en regelgeving op het gebied van gegevensbescherming.
- Dit omvat het controleren van de naleving van interne privacybeleid, het uitvoeren van audits, en het monitoren van de dataverwerkingsactiviteiten.
- Informeren en adviseren:
- De FG informeert en adviseert de organisatie en haar medewerkers over hun verplichtingen onder de AVG.
- Dit omvat het adviseren over gegevensbeschermingskwesties, het uitvoeren van Data Protection Impact Assessments (DPIA’s), en het begeleiden van de organisatie bij het integreren van privacy by design en privacy by default in hun systemen en processen.
- Communicatie met toezichthoudende autoriteiten:
- De FG fungeert als het belangrijkste aanspreekpunt tussen de organisatie en de toezichthoudende autoriteit, zoals de Autoriteit Persoonsgegevens (AP) in Nederland.
- De FG is verantwoordelijk voor het melden van datalekken aan de toezichthouder en het afhandelen van eventuele onderzoeken door de toezichthouder.
- Toegankelijkheid voor betrokkenen:
- De FG moet beschikbaar zijn voor betrokkenen (zoals klanten of werknemers) voor vragen over de verwerking van hun persoonsgegevens en hun rechten onder de AVG, zoals het recht op inzage, correctie, of verwijdering van hun gegevens.
- Onafhankelijke rol:
- De FG moet onafhankelijk opereren binnen de organisatie en mag geen instructies ontvangen over de uitvoering van zijn/haar taken.
- De FG rapporteert direct aan het hoogste managementniveau van de organisatie, wat bijdraagt aan de onafhankelijkheid van de functie.
- Begeleiding bij datalekken:
- De FG speelt een belangrijke rol bij het begeleiden van de organisatie in het geval van een datalek. Dit omvat het beoordelen van de ernst van het lek, het adviseren over noodzakelijke maatregelen, en het melden van het lek aan de Autoriteit Persoonsgegevens binnen de wettelijk gestelde termijn.