Moet de instelling over een FG (functionaris gegevensbescherming) beschikken?

Ja, je moet straks een functionaris gegevensbescherming (FG) aanstellen. Daarover zijn nog wel wat vragen want de tekst in de AVG is niet 100% waterdicht voor scholen. Het geldt namelijk voor organisaties ‘die persoonsgegevens gebruiken van personen waarop regelmatig en stelselmatig toezicht moet worden gehouden’. Wel, veel scholen vallen dan onder deze verplichting want scholen leggen steeds meer studentgegevens vast, evenals bijzondere persoonsgegevens. Bijvoorbeeld over gezondheid zoals dyslexy of gedragsproblemen. Maar ook over voortgang van de leerling en leerresultaten. Het juristennetwerk van de MBO Raad komt ook bijna unaniem tot deze conclusie.

Zo’n FG houdt intern toezicht op de verwerking van persoonsgegevens en heeft een wettelijk omschreven taak en een beschermde aanstelling.  Je kunt nu al zo’n FG aanstellen, straks (uiterlijk 25 mei 2018) wordt dit verplicht in de (semi)publieke sector.

In het toetsingskader privacy in het mbo is onder statement P2 aangegeven wat de maatregel inhoudt. Wettelijk is vastgelegd dat de FG ten minste de volgende taken vervult:

1. registreren van verwerkingen van gegevensverwerkingen.

2. adviseren van de verantwoordelijke en alle bij gegevensverwerkingen betrokken werknemers over hun (wettelijke) verplichtingen.

3. toezicht op de naleving van wet- en regelgeving, alsmede op naleving van het privacy beleid, met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het bij de verwerking betrokken personeel.

4. advies over de gegevensbeschermingseffectbeoordeling (GEB, ook wel PIA genaamd, zie statement P.21 van het toetsingskader privacy in het mbo) en toezien op de uitvoering daarvan.

5. samenwerking met de toezichthoudende (privacy)autoriteiten.

6. optreden als contactpunt voor de toezichthoudende autoriteit.

Eén mbo instelling heeft de AP gevraagd om aan te geven of een onderwijsinstelling op grond van bovenstaande nu verplicht is tot het aanstellen van een FG. De AP heeft aangegeven geen feitelijke  uitspraak hierover te willen doen. Maar ze kan zich vinden in de geschetste denktrant.

Nadrukkelijk wordt door de AP aangegeven dat de brancheorganisatie van instellingen in deze een rol kan spelen, dus een FG die vanuit een brancheorganisatie (MBO Raad, saMBO-ICT?) wordt aangesteld voor de instellingen. Er is ook de mogelijkheid van inhuur (scholen huren bij elkaar een FG).

Ook het ministerie van OCW komt tot de conclusie dat een FG verplicht is voor scholen.  Alleen komen die tot deze conclusie op basis van een geheel ander argument, namelijk dat het voor de overheids- en semipublieke instellingen verplicht is en dus ook voor scholen. Dat is een redenering waar nog wel discussie over mogelijk is.

Op dit moment wordt nog verder door de rijksoverheid onderzocht wat het precies betekent allemaal en in welke gevallen een FG verplicht is.  Daar kunnen nog andere conclusies uit voortkomen. Kennisnet heeft nog contact  met OCW over deze vraag.

Categorieën FG's
Reacties (0)
Geef een reactie