Voor bepaalde organisaties geldt dat volgens de GDPR/AVG een data protection officer of wel een functionaris voor de gegevensbescherming aangesteld moet zijn. Ook kan uw organisatie verplicht worden om regelmatig te checken of persoonsgegevens adequaat en volgens de regels beschermd worden.

 

Twee belangrijke begrippen in het kader van de AVG zijn:

  • De functionaris voor de gegevensbescherming (FG)
  • Data protection impact assessment (DPIA) 
 

Functionaris voor de gegevensbescherming

De functionaris voor de gegevensbescherming (FG) kan worden gezien als het interne verlengstuk van de Autoriteit persoonsgegevens. De FG houdt dus binnen de organisatie toezicht op toepassing en naleving van de AVG.

Volgens de AVG zijn de volgende organisaties verplicht een FG aan te stellen:

  • Overheden of publieke organisaties:
    • Gemeenten, provincies, onderwijs- en zorginstellingen enz.;
    • Er wordt niet gekeken naar welke persoonsgegevens worden verwerkt.
  • Organisaties die vanuit hun kernactiviteit personen op grote schaal volgen:
    • Gekeken wordt hoeveel personen worden gevolgd, hoe lang dit gebeurt en de hoeveelheid gegevens die wordt verwerkt;
  • Organisaties die vanuit hun kernactiviteit op grote schaal bijzondere persoonsgegevens verwerken:
    • Ziekenhuizen en zorgverzekeraars zijn een goed voorbeeld van dit soort organisaties die uit hun kernactiviteit op grote schaal gegevens over gezondheid verwerken.

Lees hier wat de autoriteit persoonsgegevens vermeld over de FG. 

 

Data protection impact assessment (DPIA)

Onder de AVG kunnen organisaties verplicht zijn een DPIA uit te voeren. In het Nederlands spreken we dan van gegevensbeschermingseffectbeoordeling.

Alleen als er door de verwerking van de persoonsgegevens een hoog privacyrisico is voor de betrokkenen is een DPIA verplicht.

Een hoog privacyrisico wordt in ieder geval aanwezig geacht als een organisatie:

  • systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profiling;
  • op grote schaal bijzondere persoonsgegevens verwerkt;
  • op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

De werkgroep van Europese privacytoezichthouders (WP 29) heeft criteria opgesteld om het risico te bepalen. Daarnaast publiceert de Autoriteit Persoonsgegevens (AP) op termijn een lijst van verwerkingen waarvoor een DPIA verplicht is.