Blogserie Wat maakt een goede FG? – De juiste persoon in de juiste setting

FG’s spelen een belangrijke rol bij de bescherming van persoonsgegevens. Essentieel is dat die rol goed wordt ingevuld. Maar wat maakt een goede FG? In deze blog wordt ingegaan op de functie van de FG, zijn profiel en zijn missie. Tien praktische vragen helpen bepalen of de setting waarbinnen een FG moet werken klopt. FG-schap mag best een uitdaging zijn, maar nooit een onmogelijke opdracht.

Een functionaris voor gegevensbescherming (data protection officer) is wettelijk toezichthouder. Je meerwaarde is dat je jouw organisatie als geen ander weet te helpen om privacywetgeving na te leven, vanwege je wetsexpertise en kennis van de praktijk en omdat je het dichtst bij het vuur zit. Dit is sinds de jaren ’90 de kerngedachte achter de FG. Vandaar dat de FG-functie in de Wet Bescherming Persoonsgegevens was opgenomen en nu ook in de Algemene Verordening Gegevensbescherming is teruggekeerd.

Benieuwd naar het hele artikel, inclusief een praktische setting-check? Lees hier de blog als PDF.

Heeft u nog vragen over het FG-schap? U kunt in het onderstaande formulier uw reactie achterlaten. Wilt u geen blog meer missen? Abonneer u dan op de PMP-nieuwsbrief of volg Privacy Management Partners op Twitter of LinkedIn.

Tooling voor de Privacy Professional

De Algemene Verordening Gegevensbescherming (hierna: AVG) is sinds 25 mei 2018 een feit. Organisaties in Europa, en in sommige gevallen ook daarbuiten[1], moeten bij het verwerken van persoonsgegevens zich aan strengere privacywet- en regelgeving houden. Niet alleen dat, organisaties moeten ook aantoonbaar aan de AVG voldoen,[2] de zogenaamde verantwoordingsplicht[3]. Onderdeel van de verantwoordingsplicht zijn:  

  • het vastleggen van een verwerkingsregister[4]; en
  • het documenteren van datalekken[5].

Lees verder

Baas over eigen zorgdata in een digitaal landschap

Informatie- en communicatietechnologie biedt zowel burgers als bedrijven en overheden enorme kansen. Dit geldt ook in de gezondheidszorg. Welke beren op de weg kunnen we verwachten? Wat betekent dit voor het recht van de zorgconsument op de informationele zelfbeschikking? Biedt de privacywetgeving op dit moment voldoende bescherming voor de zorgconsument? Hieronder wordt ingegaan op deze vragen.

Lees verder

Medeverantwoordelijkheid in het geval van een fanpagina

Ben je als beheerder van een fanpagina op Facebook medeverantwoordelijk voor de verwerking van persoonsgegevens via die pagina? Dit was recentelijk de centrale vraag die het Europese Hof van Justitie (HvJ EU) kreeg voorgelegd. Het antwoord op deze vraag lijkt ogenschijnlijk eenvoudig: nee. Immers, als beheerder maak je gebruik van een platform dat door Facebook wordt aangeboden. Facebook bepaalt voor welk doel en op welke wijze zij persoonsgegevens van de bezoekers op jouw fanpagina verwerkt. Dan is Facebook toch de verantwoordelijke? Het HvJ EU ziet dat bij bepaalde omstandigheden anders…

Facebook biedt allerlei diensten aan die kosteloos gebruikt kunnen worden. Een van die mogelijkheden is het aanmaken van een (fan)pagina. Bedrijven gebruiken het bijvoorbeeld om hun merk of product te promoten terwijl fans het gebruiken om samen te praten over hun favoriete band. De beheerder van de pagina moet een specifieke overeenkomst met Facebook sluiten en instemmen met de gebruikersvoorwaarden.

Lees verder

Aandachtspunten bij eHealth voor zorgaanbieders

Zorg staat (weer) op de agenda van de Autoriteit Persoonsgegevens dit jaar. Vorig jaar was AP al bezig met gezondheidsgegevens in commerciële context. Dit jaar spreekt de AP in het toezichtskader[1] over risicogericht toezicht op zorginstellingen. Speciale aandacht gaat zoals vanouds uit naar de beveiliging van medische gegevens. Ook focust de AP zich extra op de juiste grondslag met name bij uitwisselingen van medische gegevens. Tot zover geen spannende ontwikkelingen waar organisaties niet reeds waakzaam voor zijn in praktijk. Er zijn meer enerverende uitdagingen waar in deze blog een achtergrond voor wordt geschetst: eHealth. 

 

Lees verder

Zwarte doos in de auto langs de AVG

Een zwarte doos in de auto wordt al gebruikt door de politie bij verkeersongevallen. Verzekeraars willen ook toegang tot die gegevens om bijvoorbeeld fraude terug te dringen. Hoe verhoudt zich dat tot de Algemene Verordening Gegevensbescherming (AVG)?

 

Event Datarecorder (EDR)

Verzekeraars vinden dat alle auto’s moeten worden uitgerust met een ‘zwarte doos’, hoorden we in het nieuws afgelopen maand. Deze event datarecorder (EDR) registreert de laatste secondes voor en na een ongeluk. Niet alleen dat, ook wordt vastgelegd hoe hard er wordt gereden, hoe lang de remweg was en of de bestuurder een gordel droeg. Hiernaast kan het gedrag van de bestuurder worden geregistreerd, bijvoorbeeld of hij aan het bellen was tijdens een aanrijding. Bij nieuwe auto’s kun je zo’n chip vaak onder de motorkap vinden. De gegevens worden opgeslagen zodra de airbag of de gordel worden geactiveerd.

Lees verder

Nut en noodzaak hernieuwde aanmelding FG’s/DPO’s

Functionaris GegevensbeschermingSinds 3 april verlangt de Autoriteit Persoonsgegevens dat organisaties hun FG/DPO opnieuw aanmelden met behulp van een online formulier. Wettelijk is hernieuwde aanmelding niet nodig, maar toch is het een goed idee. Lees in deze blog over nut en noodzaak van de hernieuwde aanmelding. Hopelijk heeft de AP ook voorzien in passende waarborgen om onjuiste meldingen er uit te filteren.

Lees verder

Profilering en geautomatiseerde individuele besluitvorming: aandachtspunten uit de WP29 Richtlijn

Terwijl Cambridge Analytica, Facebook en de sleepnetwet genoeg media aandacht krijgen moet compliance met de AVG ondertussen ook nog worden geregeld. De Artikel 29 Werkgroep heeft de richtlijnen over het verwerken van persoonsgegevens in de context van profilering en geautomatiseerde individuele besluitvorming inmiddels aangepast, definitief gemaakt en staan ze klaar om te worden toegepast. In deze blog komen enkele opvallende punten uit de richtlijn aan bod.

Lees verder

Privacyverklaring: guidelines on transparency

De informatieplicht is waarschijnlijk niet het eerste waar u in de aanloop naar 25 mei mee aan de slag gaat. Hoewel de inhoud van een privacyverklaring vaak tijdens DPIA’s, inventarisaties voor het verwerkeringsregister, en het opstellen van reglementen naar boven komt, kan de vertaling naar informatie voor de betrokkenen nog veel denkwerk kosten. Traditionele ‘disclaimers’ en algemene voorwaarden zijn duidelijk niet meer genoeg, maar wanneer is een privacyverklaring dan wel goed? De guidelines van de Europese werkgroep van toezichthouders staan vol met concrete tips voor de verschillende vormen waarin de communicatie kan plaatsvinden. Soms vergen die wat meer nadenkwerk, maar ze laten u ook de vrijheid om een voor u werkende vorm te vinden. Wij hebben tussen alle DPIA’s door de tekst uitgeplozen en zetten in deze blog de belangrijkste punten op een rij. Kort samengevat, voor de transparantie-eis geldt hetzelfde als voor alle maatregelen uit de AVG: het aflopen van de checklist van artikel 12, 13 en 14 is niet voldoende, u moet bij de risico’s en uw organisatie passende keuzes maken, en ze kunnen uitleggen.

Lees verder