Vervult de FG ook een dubbelrol binnen jouw zorgorganisatie?

Vervult de FG ook een dubbelrol binnen jouw zorgorganisatie?

Een Functionaris Gegevensbescherming (FG) fungeert als interne toezichthouder op de Algemene Verordening Gegevensbescherming (AVG). Als toezichthouder moet je uiteraard niet je eigen werk controleren. Daarom zegt de AVG dat een FG wel andere taken mag hebben, maar deze mogen niet conflicteren met de rol van toezichthouder. Desondanks gebeurt dit nog veel te vaak in organisaties.

De Gemeente Amsterdam is recentelijk door de Autoriteit Persoonsgegevens (AP) berispt vanwege zo’n conflicterende dubbelrol van de FG. Naast het interne toezicht op de naleving van de Algemene Verordening Gegevensbescherming (AVG), had deze FG ook de rol van privacy officer.

In zo’n situatie is het dezelfde persoon die zowel toezicht houdt op de naleving van privacyregels als het vormgeven en uitvoeren van privacy beleid in de organisatie; een duidelijk geval van belangenverstrengeling. Objectief toezicht is in die situatie niet mogelijk.

De AVG stelt daarom expliciet dat een FG geen taken mag uitvoeren die kunnen leiden tot een belangenconflict. Als de FG merkt dat andere verantwoordelijkheden conflicteren met de rol als toezichthouder, dan moet je vanuit je rol als FG hier iets van vinden. Dit blijkt voor veel FG’s een uitdaging om uit te leggen aan de directie of het bestuur.

In dit blog richten we ons op mogelijke oplossingen om deze ongewenste dubbelrol te vermijden of op te lossen. Maar voordat we daarop ingaan, is het belangrijk om eerst helder te hebben wat precies het verschil is tussen een FG en een privacy officer. Daarom zetten we dit hieronder voor je op een rijtje.

Voordelen van een externe FG voor zorgorganisaties

E-boek externe FG inzettenEr zijn verschillende voordelen verbonden aan het aanstellen van een externe FG in plaats van een interne FG voor zorgorganisaties. Lees er meer over in ons e-boek. Download gratis, klik hier >>

Wat is het verschil tussen een FG en een privacy officer?

Een Functionaris Gegevensbescherming (FG) en een privacy officer vervullen beiden een rol in de bescherming van persoonsgegevens en privacy binnen een organisatie, maar er zijn enkele belangrijke verschillen tussen de twee functies:

Wettelijke verplichting

De Functionaris Gegevensbescherming (FG) is een functie die wettelijk verplicht is volgens de Algemene Verordening Gegevensbescherming (AVG) binnen de Europese Unie. Onder bepaalde voorwaarden zijn organisaties die persoonsgegevens verwerken verplicht om een FG aan te stellen. Dit geldt bijvoorbeeld voor overheidsorganisaties en zorginstellingen die op grote schaal bijzondere persoonsgegevens verwerken.

In tegenstelling tot de FG is de rol van een privacy officer niet wettelijk vastgelegd. We gebruiken in dit verband de term ‘privacy officer’, maar de verantwoordelijkheden die hierbij horen kunnen ook vallen onder andere functies, zoals die van een beleidsmedewerker, bestuurssecretaris, directeur of bestuurder.

Organisaties hebben de vrijheid om een privacy officer aan te stellen om hun inzet op het gebied van databescherming en privacy te coördineren. De specifieke taken variëren afhankelijk van factoren zoals de aard van de organisatie en de branche waarin deze opereert.

 Verantwoordelijkheden

De FG heeft specifieke verantwoordelijkheden met betrekking tot gegevensbescherming en privacy, zoals toezicht houden op de naleving van de AVG, adviseren over gegevensbeschermingskwesties, fungeren als contactpunt voor toezichthoudende autoriteiten en gegevenssubjecten, enz.

De rol van een privacy officer echter kan variëren afhankelijk van de organisatie. Over het algemeen is een privacy officer belast met het ontwikkelen en implementeren van het privacy beleid en management van de organisatie, het aanpakken van vraagstukken rondom privacy- en gegevensbescherming, het geven van training en bewustwording, en het coördineren van privacy-gerelateerde activiteiten zoals het uitvoeren van Privacy Impact Assessments (PIA).

Toepassingsgebied

De FG heeft meestal een bredere verantwoordelijkheid en is betrokken bij gegevensbescherming op organisatieniveau. Terwijl een privacy officer van een zorgorganisatie zich meer kan richten op de operationele aspecten van privacy- en gegevensbescherming van patiënten en cliënten van zorgorganisaties.

Kortom, het belangrijkste verschil tussen een Functionaris Gegevensbescherming en een privacy officer is de wettelijke verplichting en specifieke verantwoordelijkheden. De FG is specifiek gericht op naleving van de AVG en de aanstelling is verplicht in bepaalde situaties, terwijl een privacy officer een bredere rol kan hebben in het beheren van privacy binnen een organisatie, maar is niet wettelijk verplicht.

Is er binnen jouw zorgorganisatie ook sprake van belangenverstrengeling?

In de toekomst zullen mogelijk meer organisaties zich moeten verantwoorden bij de Autoriteit Persoonsgegevens (AP aangezien er steeds vaker meldingen binnenkomen waaruit blijkt dat de Functionaris Gegevensbescherming (FG) zich in een lastige positie bevindt.

Wellicht is het voor jouw organisatie financieel of organisatorisch niet haalbaar om zowel een FG als een privacy officer aan te stellen. Geldt dit ook voor jouw situatie?

Hoe voorkom je deze lastige dubbelrol?

Om de kwaliteit van het privacy beleid binnen je organisatie te waarborgen, is het van cruciaal belang dat zowel de taken van een FG als die van een privacy officer worden vervuld door verschillende functionarissen. Deze verantwoordelijkheden kunnen intern worden belegd, maar het is ook mogelijk om ze (gedeeltelijk) extern uit te besteden.

Hieronder kun je lezen op welke manieren je dit kunt aanpakken.

Je kunt ervoor kiezen om bekwame medewerkers binnen de organisatie op te leiden voor de rollen van FG en privacy officer. Dit vereist wel de juiste training en capaciteiten om deze taken effectief te kunnen uitvoeren.

Indien dit binnen jouw organisatie niet realiseerbaar is, kun je overwegen om samen te werken met externe partijen die gespecialiseerd zijn in gegevensbescherming en privacy compliance. Zij kunnen je helpen bij het vervullen van deze cruciale functies.

En daarnaast behoort een hybride oplossing ook tot de mogelijkheden. Je kunt bijvoorbeeld bepaalde aspecten van gegevensbescherming intern beheren, terwijl je specialisten van buitenaf inschakelt voor complexere of gespecialiseerde taken.

Belangrijk is dat ongeacht de gekozen aanpak, er voldoende aandacht wordt besteed aan de juiste scholing en training om ervoor te zorgen dat degenen die deze functies vervullen, goed op de hoogte zijn van de relevante wet- en regelgeving op het gebied van gegevensbescherming en privacy. Het waarborgen van de naleving van privacy voorschriften is essentieel om boetes en juridische problemen te voorkomen en het vertrouwen van je klanten en stakeholders te behouden.

Met wie spar jij over de keuzes die je moet maken?

Als Functionaris Gegevensbescherming (FG) in de zorgsector kom je voor unieke uitdagingen te staan. Vaak vervul je een dubbelfunctie en heeft jouw rol als FG niet de hoogste prioriteit. Ben jij bijvoorbeeld ook degene die het beleid over privacybescherming vaststelt?

Zeker in de zorg is het goed implementeren van de regelgeving rondom privacywetgeving cruciaal. Met AVG compleet als jouw sparring partner pak je deze complexe klus samen aan en voel jij je weer zeker in jouw rol als FG.

Sparring Partner FG

Is dit herkenbaar voor jouw situatie? Twijfel jij over de (dubbel) rol die jij als FG hebt? Maak dan kennis met “Sparring Partner FG”.

Met onze diepgaande kennis, ervaring in privacy & security en onze expertise in het opstellen van PIA’s, zijn we de ideale partner om mee te sparren en jou als FG in de zorg te ondersteunen.  Klik hier >>>

Lees ook: