De rol van functionaris voor gegevensbescherming (FG) bestaat al sinds de jaren negentig, maar de AVG verplicht de aanstelling van een FG voor het eerst bij wet. Volgens rapporten die bij de invoering van de AVG werden geschreven zijn er wereldwijd ongeveer 75.000 FG’s nodig, waarvan 28.000 in de VS, die alle organisaties moeten bedienen die nu een FG nodig hebben om aan de AVG te voldoen. In 2019 zouden naar schatting 500.000 organisaties in de EU een geregistreerde FG hebben. Dit aantal zal sindsdien waarschijnlijk aanzienlijk zijn toegenomen omdat meer organisaties streven naar naleving.
Volgens Artikel 37 van de AVG zijn organisaties verplicht een functionaris voor gegevensbescherming aan te stellen indien:
- Zij een overheidsinstantie of -orgaan zijn
- Hun belangrijkste verwerkingsactiviteiten een regelmatige en systematische controle van de betrokkenen op grote schaal vereisen
- Zij op grote schaal bijzondere categorieën van gegevens verwerken
Organisaties die niet bij wet verplicht zijn een FG aan te stellen, doen dit echter vaak toch. Zo bouwen zij hun nalevingskader uit, bewaken zij de naleving ervan en ondersteunen zij hun verplichtingen op het gebied van gegevensbescherming.
In lid 6 van artikel 37 staat dat een organisatie een personeelslid kan aanstellen als aangewezen FG, of de functie kan uitbesteden. Dit leidt tot de vraag: uitbesteden of intern – wat is het beste?
Ons antwoord? externe FG, en wel hierom.
Pool van expertise
Hoewel er, in tegenstelling tot andere vergelijkbare beroepen, geen specifieke kwalificatie is die alle FG’s moeten bezitten, stelt de AVG dat de keuze van een organisatie voor een FG gebaseerd moet zijn op “professionele kwaliteiten en, in het bijzonder, kennis van de wetgeving op het gebied van gegevensbescherming”.
Het gegevensbeschermingsrecht is complex. Het is bijna onmogelijk dat één persoon beschikt over deskundige kennis over al deze onderwerpen, van de rechten van de betrokkenen tot internationale gegevensoverdrachten en de toepassing van passende technische en organisatorische beveiligingsmaatregelen. Bovendien zijn er belangrijke sectorspecifieke nuances (zowel afgeleid van de AVG zelf als van de vele andere sectorspecifieke regels en voorschriften die er zijn), waardoor een “gegevensbeschermingsexpert” niet altijd een expert in uw sector zal zijn. Bovendien betekent het internationale kader van bedrijfsactiviteiten en gegevensstromen dat organisaties vaak moeten voldoen aan de gegevensbeschermingsvoorschriften van meerdere rechtsgebieden en dat hun FG deze dus moet begrijpen.
Kortom: de kennis en technische expertise die nodig zijn om de uiteenlopende en vaak concurrerende vereisten van de gegevensbeschermingswetgeving van meerdere rechtsgebieden nauwkeurig toe te passen, in combinatie met sectorspecifieke expertise, is moeilijk te vinden in één FG. Door deze functie uit te besteden hoeft u er echter niet op te vertrouwen dat één persoon alles weet. Door gegevensbescherming uit te besteden aan een partij die daar helemaal in thuis is, profiteert u niet alleen van de door u aangewezen FG en zijn of haar expertise, maar ook van een pool van kennis en ervaring van andere FG’s. Zo krijgt u, ongeacht de specifieke sector of het rechtsgebied, een antwoord op al uw vragen in verband met gegevensbescherming, omdat u een beroep kunt doen op de kennis van een heel team van FG’s. Het spreekt vanzelf dat hoe groter het team is, hoe groter de kans is dat het over de nodige kennis beschikt.
Belangenconflicten
Een van de belangrijkste vereisten van de AVG, vastgelegd in Artikel 38, is dat FG’s onafhankelijk moeten handelen. De verwerkingsverantwoordelijke mag een FG niet vertellen hoe hij zijn werk moet doen, of hem op een andere manier straffen voor de uitvoering van zijn taken, zelfs niet wanneer dit nadelig kan zijn voor de verwerkingsverantwoordelijke.
De onafhankelijkheid van de functionaris voor gegevensbescherming is zeer belangrijk omdat het naleven van uw verplichtingen op het gebied van gegevensbescherming vaak in strijd is met andere commerciële doelstellingen; de toestemming die u moet krijgen voor B2C-marketing is daarvan een uitstekend voorbeeld. Een onafhankelijke positie is dan ook essentieel om ervoor te zorgen dat de juiste controles en tegenwichten zijn ingebouwd.
Volgens Artikel 29 van de Groep gegevensbescherming (nu EDPB genoemd) mag een functionaris voor gegevensbescherming geen functie binnen de organisatie bekleden die hem/haar aanzet de doeleinden van en de middelen voor de verwerking van persoonsgegevens te bepalen. Dit houdt in dat degenen die binnen een bedrijf belangrijke beslissingen nemen – het hoger management (bijvoorbeeld de CEO, COO, hoofd marketing, hoofd IT, enz.), of andere personen die belangrijke verwerkingsactiviteiten bepalen, niet kunnen worden aangesteld als de interne FG.
Nog een belangrijk punt om te overwegen is dat de juridisch adviseur van een organisatie meestal een belangenconflict zal hebben en dus niet als FG mag worden aangesteld. Hoewel een persoon met juridische ervaring de ideale FG-kandidaat is, kan deze niet als onafhankelijk worden beschouwd als hij of zij namens u optreedt als uw juridisch adviseur en uw belangen behartigt.
Het externe FG van uw FG neemt dit probleem weg en zorgt ervoor dat u gemakkelijk aan het publiek, andere organisaties en toezichthouders kunt aantonen dat u de verplichtingen uit Artikel 38 naleeft.
Kosteneffectiviteit
Ten slotte is het uiterst kosteneffectief om uw FG uit te besteden. Door deze functie uit te besteden bespaart u zich alle extra kosten die komen kijken bij het werven en vervolgens in dienst nemen van een werknemer en hoeft u nooit de kosten te dragen van permanente opleiding, secundaire arbeidsvoorwaarden, afwezigheid, vakantie of ziekte.
Bovendien betaalt u alleen voor de tijd die u nodig hebt. Voor veel kleine- en middelgrote ondernemingen is de rol van FG vaak geen voltijdse rol; misschien is er maar een paar dagen per maand werk voor nodig, waarvoor u bijna onmogelijk iemand kunt inhuren. Door uitbesteding kunt u precies investeren in de middelen die u nodig hebt en, wat cruciaal is, als u meer nodig hebt (bijvoorbeeld omdat u te maken krijgt met een inbreuk die aanzienlijke maatregelen vereist of een complex verzoek om toegang tot persoonsgegevens ontvangt) betaalt u gewoon voor meer middelen – probleem opgelost.
Conclusie
Kortom, er zijn verschillende voordelen verbonden aan het uitbesteden van uw FG in vergelijking met het intern inhuren van personeel. Door uw FG uit te besteden, profiteert u van de kennis en gedeelde beste praktijken van een heel team van professionals op het gebied van gegevensbescherming, terwijl u ook bespaart op de tijd en het geld die verbonden zijn aan het intern inhuren van personeel.
Waarom externe FG aan The DPO Centre?
Onze externe FG dienstverlening biedt u een zeer ervaren Functionaris voor Gegevensbescherming (FG) uit ons grote team, die op locatie of op afstand werkt als een integraal lid van uw team..
U profiteert van deskundige, hands-on professionals op het gebied van gegevensbescherming die op een uiterst kosteneffectieve manier de verantwoordelijkheden van de FG op zich nemen. U krijgt daarbij ondersteuning, gedeelde beste praktijken en modeldocumentatie die is ontwikkeld op basis van de ervaring van The DPO Centre in de samenwerking met meer dan 600 organisaties.
