Functionaris Gegevensbescherming (FG) as a Service
Waarom Hello Risk
Onafhankelijk advies en
voldoen aan wet- en regelgeving
De AVG bepaalt voor bepaalde bedrijven dat deze verplicht zijn om een Functionaris Gegevensbescherming (FG) aan te stellen. Een onderneming mag hier uiteraard ook zelf voor kiezen als ze serieus met privacy op de werkvloer aan de slag willen gaan. Er is geen verplichting om de functie van FG intern te realiseren. Het aanstellen van een externe parttime FG is dan een mooie en kostenbesparende oplossing

Inhoud van de pakketten
De volgende taken maken standaard onderdeel uit van onze pakketten:
- Informeren en adviseren over de toepassing van de AVG op de werkvloer
- Toezien op de naleving van de AVG
- Gevraagd en ongevraagd advies geven
- Samenwerking met de autoriteit persoonsgegevens (AP)
- Optreden als contactpunt voor de AP


De volgende taken vallen onder dit pakket:
- Alles uit het pakket Basis
- Inventarisaties van gegevensverwerkingen maken
- Interne regelingen ontwikkelen
- Adviseren Privacy by Design
- 1 volledige dag per maand beschikbaar
FG as a Service Optimaal

FG as a Service Basis
De volgende taken vallen onder dit pakket:
- Beantwoorden vragen en/of klachten van klanten over privacy
- Communicatie met klanten over uitoefening van hun rechten
- Regie voeren in geval van een datalek
- 1/2 dag per maand beschikbaar

FG as a Service maatwerk
Heb je andere eisen qua tijdbesteding of wil je specifieke taken op laten nemen in het FG as a Service pakket dan denk ik hier graag over mee. Er is altijd een oplossing te vinden die voor beide partijen passend is.
Het is ook mogelijk om de taak van FG gezamenlijk met andere partijen uit te laten voeren, ook hiervoor maak ik graag een maatwerk offerte.
Optimaal
1 dag per maand-
Alles uit Basis
-
Privacy by design
-
Interne regelingen
Maatwerk
Tijdsbesteding in overleg-
Uren in overleg
-
Bepaal zelf taken
-
Vrijhei/gemak
Alles wat je moet weten over de functionaris voor gegevensbescherming!
De aanwijzing van een functionaris voor gegevensbescherming is verplicht:
- als de verwerking door een overheidsinstantie of overheidsorgaan wordt verricht
- als de kerntaken van de verwerkingsverantwoordelijke of de verwerker bestaan uit verwerkingen die regelmatig en stelselmatige observatie op grote schaal van betrokkenen vereisen
- als de kerntaken van de verwerkingsverantwoordelijke of de verwerker bestaan uit verwerking op grote schaal van speciale categorieën van gegevens of van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten
Kerntaken kunnen worden beschouwd als de belangrijkste handelingen die gesteld worden met het oog op het bereiken van de doelstellingen van de verwerkingsverantwoordelijke of de verwerker. Deze omvatten ook alle activiteiten waarbij het verwerken van gegevens onlosmakelijk deel uitmaakt van de activiteit van de verwerkingsverantwoordelijke of de verwerker.
De term “regelmatige en stelselmatige observatie” van betrokkenen wordt niet gedefinieerd in de AVG, maar omvat duidelijk alle vormen van opsporing en profilering op internet, ook met het oog op gedragsgerelateerde publiciteit. Het begrip “observatie” beperkt zich echter niet tot het internet.
Regelmatig kan o.a. als volgt worden geïnterpreteerd:
- Iets wat doorlopend of op specifieke ogenblikken gedurende een bepaalde periode voorkomt;
- Terugkerend of repetitief op vaste tijdstippen;
- Iets wat zich constant of periodiek voordoet.
Stelselmatig kan o.a. als volgt worden geïnterpreteerd:
- Iets wat zich volgens een systeem voordoet;
- Vooraf geregeld, georganiseerd of methodisch,
- Iets wat zich voordoet in het kader van een algemeen programma voor gegevensverzameling;
- Iets wat wordt uitgevoerd in het kader van een strategie.
In de AVG wordt niet gedefinieerd wat precies wordt bedoeld met “op grote schaal”. In het algemeen wordt geadviseerd met de volgende factoren rekening te houden bij het bepalen of de verwerking op grote schaal wordt uitgevoerd:
- Het aantal betrokkenen waarover het gaat;
- De hoeveelheid gegevens en/of het bereik van de verschillende verwerkte gegevensitems;
- De duur of permanentie van de gegevensverwerking;
- De geografische omvang van de verwerkingsactiviteit.
Ja.
Een concern kan één enkele functionaris voor gegevensbescherming aanstellen, op voorwaarde dat deze persoon “vanuit elke vestiging makkelijk te contacteren is”.
Ja.
De functionaris voor gegevensbescherming kan een personeelslid van de verwerkingsverantwoordelijke of de verwerker zijn, of kan de taken op grond van een dienstverleningsovereenkomst verrichten. Dit betekent dat de functionaris voor gegevensbescherming ook een derde kan zijn die zijn/haar functie uitoefent op basis van een dienstverleningsovereenkomst die met een individu of organisatie wordt afgesloten
De functionaris voor gegevensbescherming moet over de nodige middelen beschikken om zijn/haar taken te kunnen uitvoeren. Afhankelijk van de aard van de verwerkingen, de activiteiten en omvang van de organisatie moeten aan de functionaris voor gegevensbescherming de volgende middelen ter beschikking worden gesteld:
- Actieve ondersteuning van de functionaris voor gegevensbescherming door het hoger management;
- Voldoende tijd voor de functionaris voor gegevensbescherming om hun taken te vervullen;
- Adequate ondersteuning op het vlak van financiële middelen, infrastructuur (kantoren, faciliteiten, apparatuur) en personeel waar van toepassing
- Officiële bekendmaking van de aanstelling van de functionaris voor gegevensbescherming aan alle personeelsleden;
- Toegang tot andere diensten binnen de organisatie, zodat de functionaris voor gegevensbescherming van die andere diensten de benodigde essentiële ondersteuning, bijstand of informatie kan ontvangen;
- Voortgezette opleiding.
Nee.
Functionarissen voor gegevensbescherming zijn niet persoonlijk verantwoordelijk voor de niet-naleving van de vereisten inzake gegevensbescherming. Het is de verwerkingsverantwoordelijke of de verwerker die moet verzekeren en kunnen aantonen dat de verwerking in overeenstemming met de AVG is uitgevoerd. Naleving inzake gegevensbescherming behoort tot de verantwoordelijkheid van de verwerkingsverantwoordelijke of de verwerker.
Voor de DPIA moet de verwerkingsverantwoordelijke of de verwerker aan de functionaris voor gegevensbescherming advies vragen in onder andere de volgende situaties:
- Of er al dan niet een DPIA moet worden uitgevoerd;
- Welke methodologie bij een DPIA moet worden gevolgd;
- Of de DPIA intern uitgevoerd of uitbesteed moet worden;
- Welke waarborgen (waaronder technische en organisatroische maatregelen) moeten worden toegepast om eventuele risico’s voor de rechten en belangen van de betrokkenen te beperken;
- Of de DPIA al dan niet correct is uitgevoerd en of de conclusies (e verwerking al dan niet uitvoeren en welke waarborgen toepassen) al dan niet in overeenstemming zijn met de vereisten inzake gegevensbescherming.
Voor het Register van de verwerkingsactiviteiten is het de verwerkingsverantwoordelijke of de verwerker en niet de functionaris voor gegevensbescherming die deze registers moet bijhouden. Niets weerhoudt de verwerkingsverantwoordelijke of de verwerker er echter van om de functionaris voor gegevensbescherming te belasten met het bijhouden van de registers van de verwerkingsactiviteiten, onder toezicht van de verwerkingsverantwoordelijke of de verwerker.