Het is nu acht jaar geleden dat de Europese Unie een baanbrekende wetgeving op het gebied van gegevensbescherming in de regio in werking heeft laten treden: de Algemene Verordening Gegevensbescherming (beter bekend als de AVG). Deze verordening blijft een van de meest uitgebreide privacybeveiliging ter wereld en blijft van invloed op wetgeving ver buiten Europa.
Sinds de invoering in 2018 is de AVG verder uitgewerkt en verduidelijkt door middel van richtsnoeren van toezichthouders, handhavingsbesluiten en rechterlijke uitspraken in de hele Europese Unie.
In dit verband is het nuttig om enkele van de belangrijkste begrippen die door de AVG zijn geïntroduceerd nog eens onder de loep te nemen en na te gaan hoe deze vandaag de dag van toepassing zijn. In dit artikel gaan we in op een van de centrale rollen die in de verordening zijn vastgelegd: de functionaris voor gegevensbescherming (FG).
Wat is een FG precies?
Het antwoord hierop vereist enig begrip van de AVG en de EU-regels voor gegevens privacy .
Het recht op privacy en bescherming van persoonsgegevens is voor elke EU-burger vastgelegd in het Handvest van de grondrechten (artikel 7 en 8). Persoonsgegevens moeten worden beschermd en de verwerking ervan moet een rechtmatig doel hebben en transparant zijn. Vóór 2018 was het belangrijkste instrument om dit te waarborgen een combinatie van EU-richtlijnen en lokale wetgeving in de verschillende lidstaten. Dat veranderde allemaal op 25 mei 2018 toen de AVG van toepassing werd in alle EU- en EER-lidstaten.
Een DPO (Data Protection Officer) beschermt de fundamentele vrijheden en rechten van betrokkenen met betrekking tot privacy en gegevensbescherming.
Met de AVG is de rol van de functionaris voor gegevensbescherming (FG) in de EU-wetgeving vastgelegd. Voor sommige instellingen is het aanstellen van een FG verplicht, terwijl anderen daar zelf voor kunnen kiezen. De volgende organisaties zijn wettelijk verplicht een FG aan te stellen:
- Overheidsinstanties en -organen
- Organisaties waarvan de kernactiviteiten bestaan uit de grootschalige verwerking van bijzondere categorieën persoonsgegevens
- Organisaties waarvan de kernactiviteiten bestaan uit het regelmatig en systematisch monitoren van personen op grote schaal
Omdat we ons ervan bewust zijn dat veel van onze klanten deze functie zullen moeten invullen, is itslearning een van de eerste LMS-aanbieders die een functionaris voor gegevensbescherming (FG) heeft aangesteld. Naast het toezicht op onze eigen naleving en het geven van advies en training aan onze eigen medewerkers, staat onze FG ook ter beschikking van onze klanten en hun FG's om privacy te bespreken. Deze functie wordt momenteel binnen de Sanoma-groep vervuld. Meer informatie hierover vindt u op onze AVG-pagina.
De rol van de functionaris voor gegevensbescherming
Terug naar de oorspronkelijke vraag: wat is een FG? Eenvoudig gezegd zetten FG's zich in voor de bescherming van de fundamentele vrijheden en rechten van betrokkenen op het gebied van privacy en gegevensbescherming. Om ervoor te zorgen dat de FG de rechten van de betrokkene vooropstelt, en niet die van zijn of haar werkgever, bevat de AVG specifieke bepalingen die de onafhankelijkheid waarborgen. Een FG mag geen instructies krijgen of worden gestraft voor het werk dat hij of zij verricht als pleitbezorger van gegevensbescherming. Ook mogen zij geen andere functie bekleden die in strijd zou kunnen zijn met de bescherming van persoonsgegevens.
Een veelvoorkomende misvatting is dat de functionaris voor gegevensbescherming (FG) verantwoordelijk is voor de naleving van de AVG. In werkelijkheid blijft de verantwoordelijkheid voor de naleving bij de organisatie zelf liggen, terwijl de FG een adviserende en toezichthoudende rol vervult. Je kunt het vergelijken met het verschil tussen een boekhouder en een accountant: de accountant kan de boekhouder adviseren en boekhoudkundige methoden aanbevelen, maar moet onafhankelijk blijven.
De functionaris moet voor gegevensbescherming altijd worden geraadpleegd bij belangrijke kwesties op het gebied van gegevensbescherming binnen de organisatie. Hij of zij kan de verantwoordelijkheid op zich nemen om de organisatie voor te lichten over haar verplichtingen op grond van de Europese regelgeving inzake gegevensbescherming. De functionaris voor gegevensbescherming moet ook in staat zijn om de naleving proactief te beoordelen en te controleren, en hierover verslag uit te brengen aan het hoogste management van de organisatie. De functionaris voor gegevensbescherming fungeert tevens als contactpersoon voor de toezichthoudende autoriteiten in elk land, die erop toezien dat persoonsgegevens op eerlijke en rechtmatige wijze worden verwerkt.
De functionaris voor gegevensbescherming (FG) is ook verantwoordelijk voor het behandelen van rechtstreekse verzoeken van betrokkenen. Dit is echter beperkt tot verzoeken in gevallen waarin de organisatie verantwoordelijk is voor het doel van de verwerking (de verwerkingsverantwoordelijke). Bij itslearning verwerken we het grootste deel van de gegevens in opdracht van onze klanten. Als u een leerling, docent of ouder bent die gebruikmaakt van de diensten van onze klanten, dient u contact op te nemen met de instelling waar u bent ingeschreven om uw rechten uit te oefenen. Onze FG zal echter alles in het werk stellen om uw instelling te ondersteunen bij het beschermen van uw rechten.
De AVG heeft de rechten op het gebied van gegevensbescherming in heel Europa aanzienlijk versterkt en het bewustzijn vergroot over de manier waarop persoonsgegevens worden gebruikt en beschermd. Aangezien gegevensbescherming zich samen met nieuwe technologieën en regelgevingskaders blijft ontwikkelen, blijft de rol van de functionaris voor gegevensbescherming (FG) van cruciaal belang voor het waarborgen van verantwoordingsplicht, transparantie en vertrouwen. Bij itslearning nemen we privacy serieus en zetten we ons volledig in voor de naleving van de AVG en de ISO 27001-normen.
Ga voor meer informatie over hoe itslearning voldoet aan de AVG naar onze webpagina: itslearning AVG compliant is.
