AVG - Functionaris voor gegevensbescherming

De Algemene Verordening Gegevensbescherming (AVG) is van toepassing sinds 25 mei 2018 en inmiddels bekend bij bijna elke organisatie. Wat deze regelgeving concreet inhoudt, blijft echter vaak onduidelijk. Veel verenigingen worden getroffen door specifieke verplichtingen, waaronder het aanwijzen van een functionaris voor gegevensbescherming (hierna "FG"). 

Context

Artikel 37 van de AVG bepaalt dat het verplicht is om een "FG" aan te wijzen als uw organisatie zich in een van de volgende gevallen bevindt: 

  • Uw kernactiviteiten bestaan uit verwerkingen van persoonsgegevens die, door hun aard, omvang en/of doeleinden, een regelmatige en grootschalige monitoring van betrokkenen vereisen. Bijvoorbeeld, de verwerking van persoonsgegevens door onderwijsinstellingen met betrekking tot hun leerlingen of studenten. 
  • Uw kernactiviteiten bestaan uit grootschalige verwerkingen van gevoelige gegevens. Bijvoorbeeld, de verwerking van patiëntgegevens in het kader van de dagelijkse activiteiten van een ziekenhuis. 
  • Het betreft een overheidsorgaan of een overheidsinstantie. 

Na de inwerkingtreding van de AVG, stemde het federaal parlement een nieuwe "privacywet" van 30 juli 2018 die in artikel 5 een definitie bevat van het begrip "overheidsinstantie". 

Ondanks de klacht van de UNISOC bevestigde de Gegevensbeschermingsautoriteit (GBA) dat de volgende vzw’s als "overheidsinstantie" worden beschouwd en dus verplicht zijn een FG aan te wijzen: 

  • Vzw’s waarvan de activiteiten hoofdzakelijk worden gefinancierd door overheidsinstanties of -organen; 
  • Vzw’s waarvan het beheer onder toezicht van overheidsinstanties staat; 
  • Vzw’s waarvan de meerderheid van de bestuursleden door overheidsinstanties wordt benoemd. 

Vzw’s die aan een van deze drie criteria voldoen, zijn dus verplicht een FG aan te wijzen. 

Wie aanstellen als FG?

De FG moet gespecialiseerde kennis hebben van wetgeving en praktijken inzake gegevensbescherming, hoewel er geen specifieke diploma’s of certificeringen vereist zijn. Dit specialisatieniveau zal concreet bepaald worden, afhankelijk van de gegevensverwerkingsactiviteiten en de vereiste bescherming voor de verwerkte gegevens. Als de beoogde persoon niet over alle nodige expertise beschikt bij aanvang van zijn functie, moet deze op zeer korte termijn door middel van opleidingen worden ontwikkeld. 

De FG kan zowel: 

  • Intern zijn: De FG kan andere functies binnen de organisatie vervullen, mits deze geen belangenconflicten opleveren. Het is bijvoorbeeld niet mogelijk om FG te worden als men een leidinggevende positie bekleedt die de doeleinden en middelen van de gegevensverwerking bepaalt. 
  • Extern zijn: Het is mogelijk om een beroep te doen op een externe persoon (consultant, etc.) of rechtspersoon (bv. een advocatenkantoor, expertisecentrum etc.) via een dienstverleningsovereenkomst. De AVG benadrukt echter dat de FG gemakkelijk bereikbaar moet zijn. De organisatie moet dus de contactgegevens van de FG openbaar maken voor haar medewerkers. 

Intern of extern, de contactgegevens van de FG moeten aan de Gegevensbeschermingsautoriteit worden gecommuniceerd via dit formulier voor de communicatie van de contactgegevens van de functionaris beschikbaar op de website van de GBA. 

Lexicale punt:

Wie is de Gegevensbeschermingsautoriteit of "GBA"? Het is een onafhankelijke toezichthoudende instantie die belast is met het waarborgen van de naleving van de fundamentele beginselen van de bescherming van persoonsgegevens.

Taken

De FG heeft minstens de volgende taken: 

- Informeren en adviseren van de organisatie: 

  • Deelt expertise met de directie zodat deze de naleving van de AVG kan waarborgen; 
  • Verspreidt de cultuur en regels van gegevensbescherming onder alle personen die persoonsgegevens binnen de organisatie verwerken. 

- Toezicht houden op de naleving van de AVG: 

  • Controleert de juistheid van de informatie in het register van verwerkingen dat door de organisatie wordt bijgehouden; 
  • Implementeert monitoring- en controlesystemen voor het gebruik van verwerkingen (bijvoorbeeld, controle van de naleving van bewaartermijnen van gegevens). 

- Contactpunt voor AVG-zaken: 

De FG werkt samen met de toezichthoudende autoriteit en fungeert als "facilitator" bij interacties met de GBA (antwoordt op verzoeken tijdens een plaatselijke controle, behandeling van een klacht, melding van een gegevensinbreuk, enz.). 

De FG is ook het contactpunt voor personen die hun rechten willen uitoefenen (link naar lijst van rechten) bij de verwerkingsverantwoordelijke. Een speciaal contactadres voor deze functie wordt vaak gecreëerd dat alleen toegankelijk is voor de FG. 

Lexicale punt

  • Wat zijn persoonsgegevens? Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Bijvoorbeeld: een naam, een e-mailadres, een IP-adres, een computerlogin-ID, enz.  

  • De verwerkingsverantwoordelijke is de rechtspersoon (bedrijf, gemeente, enz.) of natuurlijke persoon die de doeleinden en middelen van een verwerking bepaalt, dat wil zeggen het doel en de manier waarop dit wordt uitgevoerd.  

  • Het register van verwerkingsactiviteiten stelt u in staat om uw gegevensverwerkingen te inventariseren en een overzicht te hebben van wat de verwerkingsverantwoordelijke met de persoonsgegevens doet. Het maakt het mogelijk om met name te identificeren: 

  1. - de belanghebbenden; 
  2. - de categorieën van verwerkte gegevens; 
  3. - waarvoor deze gegevens worden gebruikt, wie er toegang toe heeft en aan wie ze worden doorgegeven; 
  4. - hoe lang de persoonsgegevens worden bewaard; 
  5. - hoe ze worden beveiligd. 

Voor meer details over de taken van de FG kunt u de website raadplegen: https://www.gegevensbeschermingsautoriteit.be/professioneel/avg/function...  

Middelen toegewezen aan de FG

De FG moet over de nodige middelen beschikken om de taken onafhankelijk uit te kunnen voeren. Concreet betekent dit dat de FG betrokken moet worden bij alle kwesties met betrekking tot gegevensbescherming. De organisatie moet ervoor zorgen dat: 

  • De FG onmiddellijk wordt geraadpleegd bij een gegevensinbreuk; 
  • De FG wordt geraadpleegd bij projecten die betrekking hebben op de verwerking van persoonsgegevens, enz. 

Tijd, financiële middelen en opleidingen zijn enkele van de middelen die beschikbaar moeten worden gesteld aan de FG. 

Meer informatie over de middelen waarover een FG moet beschikken is te vinden op de website: https://www.gegevensbeschermingsautoriteit.be/professioneel/avg/function...

Verantwoordelijkheden

De FG is niet persoonlijk verantwoordelijk voor niet-naleving van de AVG. De verwerkingsverantwoordelijke of de verwerker is verplicht ervoor te zorgen en aan te tonen dat de verwerking overeenkomstig de bepalingen van de AVG wordt uitgevoerd. 

Lexicale punt

De verwerker is de natuurlijke persoon of rechtspersoon (bedrijf of overheidsinstantie) die gegevens verwerkt namens een andere organisatie ("de verwerkingsverantwoordelijke"), in het kader van een dienst of opdracht. Bijvoorbeeld, IT-beveiligingsbedrijven, communicatiebureaus die persoonsgegevens verwerken voor hun klanten. 

Sanctie

In geval van niet-naleving van de verplichting om een FG aan te wijzen, stelt een "overheidsinstantie" in de zin van de bovengenoemde Belgische wet zich niet bloot aan een administratieve sanctie van financiële aard. Het Grondwettelijk Hof heeft namelijk geoordeeld dat dit de continuïteit van de openbare dienstverlening en de uitoefening van een taak van algemeen belang in gevaar zou brengen (https://www.const-court.be/public/n/2021/2021-005n.pdf). Andere administratieve sancties zijn echter mogelijk: tijdelijke of definitieve beperking van de gegevensverwerking, bevel om in overeenstemming te handelen met de bepalingen van de AVG. 

Vzw’s die niet voldoen aan het begrip "overheidsinstantie" kunnen administratieve boetes opgelegd krijgen door de GBA. 

Handige Links