Steeds meer scholen hebben er een in dienst: een Functionaris voor Gegevensbescherming (FG). In de praktijk vaak dé persoon die alles weet van de AVG en dé persoon die alle mogelijke taken uitvoert op het gebied van privacy van leerlingen en medewerkers in de school. Zo wordt de Functionaris ingezet als manusje-van-alles. Tegelijkertijd eist de wet dat de Functionaris onafhankelijk moet zijn. Hoe zit dat?
Verplichting
Het aanstellen van een Functionaris Gegevensbescherming is lang niet in alle gevallen verplicht. Zo heeft niet ieder Nederlands bedrijf of instelling deze verplichting. Scholen hebben deze verplichting wel wegens het stelselmatig observeren van leerlingen (bijv. LVS en OPP’s) en op grote schaal verwerken van bijzondere persoonsgegevens.
Toezichthouder
De eerste door de wetgever bedeelde rol aan de Functionaris Gegevensbescherming is het houden van toezicht. Dit toezichthouden is tweeledig: de Functionaris dient zowel toe te zien op de naleving van wettelijke verplichtingen vanuit de AVG, als op de naleving van het interne IBP-beleid. De Functionaris monitort en ziet toe op de privacy compliancy van de school.
De Functionaris Gegevensbescherming is als toezichthouder hét contactpunt voor de AP. De Functionaris is echter geen politieagent in dienst van de Autoriteit Persoonsgegevens. Om de naleving van de wet en het beleid te monitoren is het belangrijk dat de Functionaris een onafhankelijke plaats heeft binnen de organisatie. De Functionaris is er niet alleen voor de organisatie en het bestuur zelf, hij dient ook toe te zien op de gegevensbescherming van leerlingen, ouders en medewerkers en in te grijpen (rapporteren en waarschuwen) mocht de school zich niet houden aan de privacywet.
Adviseur
In de overwegingen bij de AVG wordt opgemerkt dat de Functionaris Gegevensbescherming de verwerkingsverantwoordelijke dient “bij te staan”. Oftewel: de Functionaris moet de school uitgebreid kunnen adviseren en informeren. Juist nu de meeste onderwijsinstellingen niet geheel compliant zijn aan de AVG, zal de focus van de Functionaris Gegevensbescherming aanvankelijk liggen op het gevraagd en ongevraagd adviseren en informeren.
Daarnaast is het belangrijk dat de FG wordt gezien als een “sparringpartner” binnen de organisatie, met name op management- en IT-niveau. Ook is het aan te raden dat de Functionaris vast of periodiek deel uitmaakt van de relevante werkgroepen die zich bezighouden met gegevensverwerkingsactiviteiten binnen de organisatie. Besef wel dat ook hier de onafhankelijkheid van de Functionaris gewaarborgd dient te blijven.
En uitvoerend werk dan?
Daar zwijgt de wet over. Tenminste, zoals vermeld mag er geen sprake zijn van belangenconflicten en dient de Functionaris Gegevensbescherming onafhankelijk te zijn. Het vanuit je adviesrol keuren en doorlichten van het door jou zelf geschreven privacybeleid wringt een beetje, toch? De Functionaris dient dan ook zeker geen manusje-van-alles te zijn. Alhoewel: een Functionaris Gegevensbescherming kan prima het verwerkingsregister bijhouden en bepaalde werkzaamheden bij een datalek uitvoeren. In de praktijk beoordeelt de Functionaris ook vaak de verwerkersovereenkomsten.
Binnen het onderwijs worden, om de onafhankelijkheid van de Functionaris Gegevensbescherming te waarborgen, de uitvoerende taken normaliter belegd bij een Privacy Officer die nauwe contacten onderhoudt met de Functionaris Gegevensbescherming.
Dus?
Kortom, de vereiste taken van de Functionaris Gegevensbescherming zijn het adviseren, informeren en toezichthouden op en over gegevensverwerkingen. De Functionaris Gegevensbescherming moet dan ook een centrale en bereikbare plaats innemen binnen de school, met name voor de adviesfunctie. Naarmate de implementatiefase vordert en het IBP-bewustzijn binnen de organisatie toeneemt zal de focus steeds meer op toezicht komen te liggen. In alle gevallen is het belangrijk dat de onafhankelijkheid van de Functionaris Gegevensbescherming gewaarborgd blijft. Uitvoerend werk is niet verboden, zolang de onafhankelijkheid gewaarborgd blijft. De Functionaris kan zijn ‘eigen vlees’ niet keuren.
Bekwaamheid
De wet geeft aan dat een Functionaris Gegevensbescherming moet worden aangewezen op grond van zijn of haar professionele kwaliteiten en deskundigheid van zowel wetgeving als de praktijk. Dit deskundigheidsniveau dient afgewogen te worden door te kijken naar het niveau van de gegevensverwerkingsactiviteiten en de vereiste bescherming.
Nu een school stelselmatig en bijzonder veel gevoelige informatie verwerkt zou geconcludeerd kunnen worden dat het niveau van deskundigheid van een Functionaris Gegevensbescherming binnen een school vrij hoog ligt. Een willekeurige medewerker benoemen als Functionaris zonder enige vorm van omscholing en training ligt dus niet voor de hand. Toch een interne medewerker als Functionaris? Zorg dan dat er geen belangenconflict ontstaat. Er is met name sprake van een belangenconflict indien degene vanuit zijn of haar niet-FG functie het doel en middelen van verwerkingen kan bepalen. Het is dan niet mogelijk om ook Functionaris Gegevensbescherming te zijn. Voorbeelden hiervan kunnen zijn: senior managementfuncties, manager HR, verantwoordelijke PR en manager ICT.
De Functionaris dient immers de taken met voldoende autonomie binnen de school te kunnen uitvoeren. Deze onafhankelijkheid gaat vrij ver. Veel onderwijsinstellingen beleggen de functie van een Functionaris Gegevensbescherming dan ook extern.
Ondersteuning nodig?
Via Privacy op School kunt u, voor korte of lange termijn, een functionaris gegevensbescherming inhuren. Wij bieden daarvoor de dienst FG as a service. De gecertificeerde Functionaris Gegevensbescherming van Privacy op School heeft bijzonder veel kennis van het onderwijs.
Toch intern een Functionaris of Privacy Officer aanstellen? Wij bieden een tweedaagse gecertificeerde opleiding tot Functionaris. Deze opleiding is met name bedoeld voor (bovenschools) stafmedewerkers die zich bezig (gaan) houden met privacy.
Juriaan van de Wege
Privacyjurist / Functionaris Gegevensbescherming
