VEELGESTELDE VRAGEN OVER DE AVG


Zijn scholen verplicht een functionaris gegevensbescherming (FG) aan te stellen?

Antwoord:
Ja. Onderwijsinstellingen zijn altijd verplicht om een FG aan te stellen, ongeacht het type gegevens dat ze verwerken.


Wat moet een FG weten en kunnen?

Antwoord:
Een FG moet bovengemiddelde vakkennis hebben van privacywetgeving en van de praktijk van gegevensbescherming. De vereiste expertise en vaardigheden omvatten in ieder geval:

  • kennis van nationale en Europese privacywet- en regelgeving over gegevensbescherming;
  • begrip van de gegevensverwerkingen die de organisatie uitvoert;
  • begrip van IT en informatiebeveiliging;
  • kennis van de organisatie en de sector waarin die actief is; 
  • vaardigheden om binnen de organisatie een cultuur van gegevensbescherming te ontwikkelen.

Hoe kan een FG toezicht houden op het naleven van de privacywet binnen een school?

Antwoord:
Een belangrijke taak van de FG is intern toezicht houden op het naleven van de AVG. Om dit te kunnen doen, kan de FG:

  • informatie verzamelen over gegevensverwerkingen binnen de school;
  • deze verwerkingen analyseren en beoordelen of ze aan de wet voldoen;
  • informatie, adviezen en aanbevelingen geven aan de school.

Is de FG persoonlijk aansprakelijk als er binnen zijn school een overtreding van de privacywet is?

Antwoord:
Nee, de FG is niet persoonlijk aansprakelijk als er binnen zijn organisatie een overtreding van de privacywet is. De naleving van de privacywet is een verantwoordelijkheid van de verwerkingsverantwoordelijke of de verwerker.


Welke rol speelt de FG bij data protection impact assessment (DPIA)?

Antwoord:
Bij het uitvoeren van een DPIA moet de verwerkingsverantwoordelijke advies inwinnen van de FG. De FG kan advies geven over:

  • de afweging om wel of niet een DPIA uit te voeren;
  • de onderzoeksmethode die geschikt is voor de DPIA;
  • de vraag of de school de DPIA zelf uitvoert of hiervoor een gespecialiseerd bureau inschakelt;
  • de waarborgen die nodig zijn om de risico’s voor betrokkenen te beperken;
  • de vraag of de uitkomsten van de DPIA in overeenstemming zijn met de wet.

Moet de FG bijhouden welke gegevens de school verwerkt?

Antwoord:
De school is zelf verantwoordelijk om overzicht te houden van de gegevensverwerkingen binnen de organisatie. De FG heeft deze verantwoordelijkheid niet.


Hoe kan een school een datalek melden aan de Autoriteit Persoonsgegevens?

Antwoord:
Een datalek kan gemeld worden via het meldloket datalekken.


Staat uw vraag er niet tussen?


Stel hier uw vraag
Contact