Antwoorden op veelgestelde vragen over de nieuwe privacywet en de functionaris gegevensbescherming
07 februari 2018
Wat is een Functionaris voor Gegevensbescherming?
Een Functionaris voor Gegevensbescherming (FG) is een interne toezichthouder op de verwerking van persoonsgegevens binnen een organisatie. Deze functionaris heeft geen formele sanctiebevoegdheden, maar wel controlebevoegdheden. Hij adviseert het schoolbestuur (bevoegd gezag) over privacy en houdt toezicht daarop, handelt vragen en klachten over privacy af, ontwikkelt (interne) regelingen rondom privacy en geeft advies over technologie en beveiliging (privacy by design). De FG moet voldoende kennis hebben van de organisatie en van privacywetgeving, betrouwbaar zijn en moet in onafhankelijkheid zijn werkzaamheden kunnen verrichten. De FG heeft de zelfde ontslagbescherming als leden van de (G)MR.
Download de handreiking Functionaris Gegevensbescherming
Is elke school verplicht om een Functionaris voor Gegevensbescherming aan te stellen?
Of een organisatie een FG moet aanstellen staat in de Algemene Verordening Gegevensbescherming (AVG). Criteria per sector of soort organisatie ontbreken en hierdoor moet iedere organisatie zelf afleiden en bepalen of een FG moet worden aangesteld. Op basis van analyse van de AVG komen de PO-Raad, VO-raad en Kennisnet tot de conclusie dat schoolbesturen en samenwerkingsverbanden verplicht een FG moeten aanwijzen. Ook in het mbo wordt aangenomen dat de FG verplicht is voor mbo-instellingen. De analyse is terug te vinden in bijlage 1 van bovenstaande handreiking.
Het is niet zo dat elke school een FG moet aanstellen, dit kan per schoolbestuur. Als schoolbestuur heb je verschillende mogelijkheden om een FG te organiseren:
- Je benoemt iemand binnen de eigen organisatie als FG
- In samenwerking met andere schoolbesturen een FG benoemen
- Je huurt een externe FG in.
Moet ik op 25 mei 2018 een Functionaris voor Gegevensbescherming hebben aangesteld
De FG is een van de zaken die nieuw is voor schoolbesturen om te regelen. Het belangrijkste is dat schoolbesturen eerst de basis voor privacy en informatiebeveiliging hebben gelegd binnen hun organisatie. Denk hierbij aan het opstellen van privacy en informatiebeveiligingsbeleid en het opstellen van protocollen rondom datalekken en het gebruik van beeldmateriaal. Het advies is aan schoolbesturen om de documenteren waarom er (nog) geen FG aanwezig is en wat de planning is om dat wel te gaan doen. Het is namelijk verdedigbaar dat een schoolbestuur eerst andere verplichtingen uit de AVG op orde wil hebben gebracht voordat een FG daarop intern toezicht gaat houden.
Hoeveel tijd is een Functionaris voor Gegevensbescherming gemiddeld kwijt?
De omvang van de taken van een FG zijn sterk afhankelijk van de organisatie van het schoolbestuur. Voor een (middelgroot) schoolbestuur met een goed georganiseerde staf en/of gespecialiseerde it-medewerkers is het eenvoudiger voor een FG om de organisatie te leren kennen. Een schoolbestuur waarbij Informatiebeveiliging en Privacy (IBP) nog in de kinderschoenen staat, zal zelf nog meer tijd nodig hebben om IBP goed te regelen. De FG zal dan ook meer tijd nodig hebben voor het begeleiden van de medewerkers die IBP gaan organiseren.
Na het aanwijzen van een (interne of externe) FG, zal de FG in het begin tijd kwijt zijn om de organisatie te leren kennen en om afspraken te maken met het bestuur en de medewerkers die betrokken zijn bij IBP. Bij een gemiddeld schoolbestuur dat start met het regelen van IBP, is de verwachting dat het eerste half jaar de inzet nodig is van medewerkers voor 1 tot 2 dagen per week (bij grote organisaties kan dit oplopen tot 3 dagen) om IBP te gaan organiseren. Hierbij wordt er van uitgegaan dat gebruik wordt gemaakt van de Aanpak IBP. De tijd kan verdeeld worden over één of meerdere medewerkers. Hiernaast is betrokkenheid nodig van het bestuur (circa 1 dag per maand) en de medewerkers personeelszaken (circa 2 tot 4 dagen per maand), en de ictmedewerkers (4 tot 8 dagen per maand). Daarnaast wordt er voorlichting gegeven aan alle medewerkers. Na dat half jaar, als IBP in de steigers staat, kan er worden volstaan met minder tijd (eenvoudig gesteld kan de tijd gehalveerd worden).
Waar kan ik formats, handleidingen en andere informatie vinden over wat ik moet regelen om de AVG op orde te brengen?
De VO-raad heeft samen met de PO-Raad en Kennisnet de Aanpak Informatiebeveiliging en Privacy (IBP) ontwikkeld In deze aanpak kunnen scholen aan de hand van de stappen: organiseren, realiseren en communiceren zelf aan de slag met privacy en informatiebeveiliging.
Op deze website staat ook een overzicht van wat scholen al hadden moeten regelen onder de Wet bescherming persoonsgegevens (Wbp) en wat nieuw is voor scholen met de komst van de AVG. De website wordt up tot date gehouden en aangevuld met nieuwe formats en handreiking. Zo wordt op dit moment gewerkt aan het model Dataregister en een format voor de Gegevensbeschermingseffectbeoordeling.