De Europese Algemene verordening gegevensbescherming (Avg) die in mei 2018 in werking treedt, eist van een groot aantal organisaties dat zij een functionaris voor de gegevensbescherming (FG) aanstellen. Uit een onderzoek van Nederland ICT onder ruim 200 organisaties blijkt dat 44 procent daarvan een FG moet hebben. “Dat zijn er veel meer dan we hadden verwacht”, laat een woordvoerder van Nederland ICT weten.De cijfers zijn afkomstig van een quickscan op de site van Nederland ICT. Organisaties kunnen hiermee bekijken of de verplichte aanstelling van een FG ook voor hen geldt. De scan is een onderdeel van een voorlichtingscampagne over de Avg, die Nederland ICT gestart is. “We houden een slag om de arm over de representativiteit, maar is het 1 op de 3 – dan zijn het er nog heel veel. Het betekent dat heel veel ICT-bedrijven nog veel inspanningen en investeringen moeten doen om een FG aan te stellen.” Nederland ICT heeft wel een verklaring voor het hoge aantal benodigde fg’s: “De rol van ICT-bedrijven verandert omdat ze steeds vaker diensten en producten in de cloud aanbieden. Dat brengt extra verantwoordelijkheden met zich mee. Uit de scan blijkt nu dat dit voor een groot deel van de ICT-bedrijven het geval is. Vaak zullen ze zich daar zelf nog niet van bewust zijn.”

Nederland ICT komt op korte termijn met hulp en dienstverlening op dit vlak voor zijn leden. Daarbij gaat het volgens de woordvoerder vooral om de wat kleinere organisaties. Uit het onderzoek van Nederland ICT blijkt dat 25 procent een FG nodig heeft omdat ze bijzondere gegevens als core business verwerken. 19 procent is verplicht een FG aan te stellen omdat ze zich bezig houden met regelmatige en stelselmatige monitoring.

Wat is een FG

Een interne toezichthouder op de verwerking van persoonsgegevens. Belangrijke taken zijn onder meer toezien op de naleving van de privacy-wetgeving, samenwerken met de AP en functioneren als eerste spraakpunt en sparringpartner voor de AP.

Voor wie is straks een FG verplicht?

  1. De overheid
  2. Organisaties die hoofdzakelijk belast zijn met het doen van verwerkingen die vanwege hun aard, hun omvang en/of doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen
  3. Organisaties die hoofdzakelijk belast zijn met het op grote schaal verwerken van bijzondere gegevens

Geen officieel certificaat

De verplichte aanstelling van een functionaris gegevensbescherming vanaf mei 2018 heeft geleid tot een zeer groot aanbod van opleidingen. Van een officiële certificering is nog geen sprake.

Het Nederlands Genootschap van Functionarissen voor de Gegevensbescherming (NGFG) ziet een groot, zeer divers aanbod van cursussen. “Er zijn diverse opleidingen voor FG’s. Over de kwaliteit daarvan lopen de meningen uiteen. De ene is ook wel wat prijziger dan de ander”, laat een woordvoerster van het NGFG weten. Zij benadrukt: “Er zijn nog geen officiële certificaties voor FG’s, hoewel sommige opleidingsinstituten anders doen voorkomen. Wij, als NGFG, zijn wel in gesprek met de Autoriteit Persoonsgegevens, om te verkennen op welke wijze dat wel gerealiseerd kan worden”, laat een woordvoerster van de NGFG weten.

Markt moet het doen

De Autoriteit Persoonsgegevens laat echter weten dat zij geen certificering voor FG-opleidingen zal opzetten. “Dat moet de markt zelf oppakken”, laat een woordvoerster van de AP weten. Zij wijst er op dat in de Avg wel staat dat toezichthouders het moeten aanmoedigen dat de FG een goede opleiding volgt. Over een certificering voor opleidingen wordt echter niets gemeld. Wel heeft de Autoriteit Persoonsgegevens een openbaar register voor functionarissen gegevensbescherming waar men zich zelf voor kan aanmelden.

Een aspirant-cursist die een opleiding moet selecteren, kan wel terecht bij het AP voor een duidelijke beschrijving van de functie in de Richtlijnen functionaris voor de gegevensbescherming.

De AP adviseert om bij het kiezen van een opleiding de informatie in deze richtlijnen goed te bestuderen. “Daarin staan elementen die van belang zijn voor het werk van de FG. Let dan op of die in een cursus aan de orde komen.”

Bron: AGconnect.nl