Sinds 3 april verlangt de Autoriteit Persoonsgegevens dat organisaties hun FG/DPO opnieuw aanmelden met behulp van een online formulier. Wettelijk is hernieuwde aanmelding niet nodig, maar toch is het een goed idee. Lees in deze blog over nut en noodzaak van de hernieuwde aanmelding. Hopelijk heeft de AP ook voorzien in passende waarborgen om onjuiste meldingen er uit te filteren.
De Autoriteit Persoonsgegevens verlangt dat organisaties hun Functionaris voor Gegevensbescherming (Data Protection Officer) opnieuw aanmelden. Dit moet gebeuren vóór 25 mei 2018. De AP heeft hiervoor een online formulier ter beschikking gesteld. Bestaande FG/DPO-meldingen die niet opnieuw worden aangemeld, beschouwt de AP per 25 mei als vervallen.
Nuttige bijzaak
De maatregel heeft vooral praktische betekenis. Volgens de Algemene Verordening Gegevensbescherming is een FG/DPO officieel in functie vanaf het moment van aanwijzing. Die aanwijzing is een bestuurlijke handeling en kan bijvoorbeeld blijken uit de notulen van een directievergadering of een brief waarin het bestuur de FG/DPO aanwijst.
Dat maakt de melding van de FG/DPO bij de AP wettelijk tot bijzaak, maar dan wel een wel nuttige bijzaak. Want volgens de AVG hebben personen over wie gegevens worden verwerkt, recht op toegang tot de FG. En voor de AP is de FG/DPO het contactpunt voor alle aangelegenheden die verband houden met de bescherming van persoonsgegevens. Dat kunnen beide doelgroepen alleen wanneer ze over de contactgegevens van de FG/DPO beschikken. Vandaar dat artikel 37 lid 7 AVG voorschrijft dat organisaties, naast aanwijzing van hun FG/DPO, óók zijn/haar contactgegevens moet communiceren. Daarmee geven organisaties meteen te kennen dat ze uitvoering geven aan de AVG.
Kleine moeite, groot plezier
De plicht tot het melden van FG’s bij de AP bestond ook onder de Wet Bescherming Persoonsgegevens. Organisaties die ter voorbereiding op de AVG hun FG/DPO onder de WBP hebben aangemeld, hebben dat prima gedaan. Nergens in de wet staat dat met de invoering van de AVG nóg een melding nodig is. Dus feitelijk vraagt de AP om dubbel werk.
Maar kleine moeite, groot plezier. De AP kampt nogal met een juistheidsprobleem in de zin van artikel 5.1d AVG. Want de FG/DPO-aanmeldingen die de AP in de afgelopen jaren ontving, zijn nooit goed onderhouden. De AP kan daarom niet goed beoordelen welke FG/DPO-registraties actueel zijn en welke zijn verouderd. Met het verzoek om nieuwe aanmelding maakt de AP schoon schip. Het oude FG/DPO-bestand (‘FG-register’) komt op 25 mei te vervallen.
Het online formulier voor nieuwe aanmelding laat zich kinderlijk eenvoudig invullen. Misschien wel té eenvoudig. Want wie de hernieuwde aanmelding wil trollen, kan met het online formulier de meest rare aanmeldingen doen. Hopelijk hanteert de AP een goede verificatieprocedure voor juiste en nauwkeurige verwerking van FG/DPO-gegevens. En hopelijk toetst de AP ook of voldoende aannemelijk is dat een FG/DPO voldoet aan de kwalificaties van artikel 37 lid 5 AVG (‘expert knowledge of data protection law and practice’). Want anders brengt de aanmelding alsnog juistheidsproblemen met zich mee in de zin van artikel 5.1d AVG.
Hotline
Denk overigens goed na over de vraag welke contactgegevens aan wie moeten worden gecommuniceerd. FG’s/DPO’s kunnen ondergesneeuwd raken door een toevloed aan mailtjes, telefoontjes of brieven van personen wanneer hun directe contactgegevens worden bekend gemaakt – denk aan persoonlijke e-mailadressen en telefoonnummers. Zeker bij grootschalige gegevensverwerkingen is dat onwerkbaar. Het is dan slimmer om met een indirecte postbus- of loketfunctie te werken.
Voor soepel samenspel tussen FG’s/DPO’s en de AP is het juist wél weer handig dat een organisatie de directe contactgegevens van haar FG/DPO communiceert. Vervolgens is het logisch dat de AP op haar beurt aan FG/DPO’s de contactgegevens communiceert van hun counterpart bij de AP. Op die manier hebben de artikel 37- en artikel 51-toezichthouders hun eigen hotline voor als dat nodig is.