Functionaris voor gegevensbescherming
Een functionaris voor gegevensbescherming (FG) is iemand die controleert of een school zich aan de regels van de Algemene Verordening Gegevensbescherming (AVG) houdt. Een schoolbestuur is verplicht een FG aan te wijzen. Scholen of vestigingen die onder een schoolbestuur vallen hoeven geen eigen FG aan te wijzen.
Naast een controlerende taak beoordeelt een FG beveiligingsincidenten en datalekken, adviseert het bestuur en maakt medewerkers bewust van het belang van informatiebeveiliging en privacy. De FG is dé vraagbaak als het gaat om verwerking van persoonsgegevens. Daarnaast is de FG de contactpersoon voor de externe toezichthouder: de Autoriteit Persoonsgegevens. Een schoolbestuur mag intern een FG aanwijzen of een externe FG inhuren. Binnen en buiten de organisatie moet bekend zijn hoe de FG te bereiken is.
Is het wettelijk verplicht?
De AVG verplicht een schoolbestuur een FG aan te wijzen, omdat scholen veel persoonsgegevens verwerken en de voortgang van leerlingen nauwgezet vastleggen.
Meer informatie vind je in artikel 37-39, artikel 62 en artikel 63 van de AVG. Raadpleeg het normenkader IBP po vo voor maatregelen die hierbij horen.
Wie doet wat?
Bij het aanwijzen van een FG op school zijn verschillende rollen betrokken met elk hun eigen taken:
- Het schoolbestuur wijst de FG aan.
- De (G)MR stemt in met de aanwijzing FG.
Meer weten over de rol- en taakverdeling voor IBP? Ga naar rollen en verantwoordelijkheden.
Aan de slag
Zo verloopt het aanwijzen van een functionaris voor gegevensbescherming.
Stap 1 | Aanwijzen van een FG
Als schoolbestuur moet je eerst besluiten dat je een FG gaat aanwijzen en bepalen of dit een interne of externe FG wordt.
Stap 2 | Maak een regeling taken en bevoegdheden FG
Maak een regeling taken en bevoegdheden voor de FG en stel dit vast. Je kunt hiervoor de modelregeling van Kennisnet gebruiken.
Stap 3 | Stem het besluit af met de (G)MR
De (G)MR moet instemmen met de regeling FG en het aanwijzen van een FG. De leden hoeven niet in te stemmen met wie de FG wordt.
Stap 4 | Zoek een FG
Houd er bij het zoeken naar een FG rekening mee dat een FG voldoende kennis moet hebben van de organisatie en van privacywetgeving, betrouwbaar moet zijn en onafhankelijk zijn werkzaamheden moet kunnen verrichten.
Stap 5 | Wijs bij besluit de FG aan
Als er een FG is gevonden, dan kan hij of zij bij besluit worden aangewezen.
Stap 6 | Meld de FG aan bij de Autoriteit Persoonsgegevens
Vergeet niet om de aangewezen FG aan te melden bij de Autoriteit Persoonsgegevens.
Tool: Modelregeling
Hou rekening met
Privacy Officer
Een Privacy Officer is niet hetzelfde als een functionaris voor de gegevensbescherming. Een Privacy Officer heeft privacy als aandachtsgebied en is meestal betrokken bij de voorbereiding en uitvoering van bijvoorbeeld projecten en implementatie van wetgeving. Soms is een Privacy Officer eindverantwoordelijk voor het organiseren en garanderen van privacy binnen een organisatie. Een FG kan nooit betrokken zijn bij de uitvoering van privacyprojecten vanwege diens toezichthoudende en controlerende rol. Ook als je een Privacy Officer hebt, moet je dus een FG aanwijzen. De FG zal natuurlijk samenwerken met de Privacy Officer.
Onafhankelijke positie
Een FG moet onafhankelijk zijn werk kunnen doen. De FG is niet alleen adviseur, maar ook (intern) controleur. De onafhankelijk is wettelijk vastgelegd, bijvoorbeeld door de ontslagbescherming van een FG. Deze onafhankelijke positie maakt dat niet iedereen FG kan worden: een bestuurder, directeur of manager zal lastig FG kunnen worden als de FG het werk van de bestuurder of directie moet gaan controleren. Maar ook een hoofd administratie (personeel of leerlingen) ligt minder voor de hand: die is in de dagelijkse praktijk betrokken bij de besluitvorming over persoonsgegevens en kan daarom lastig(er) onafhankelijk toezicht houden. Het komt wel voor dat een instellingsjurist, manager intern controle, compliance officer, vertrouwenspersoon of controller als FG wordt aangewezen. Ook wordt een FG gecombineerd met de functie van security officer.