VEELGESTELDE VRAGEN OVER DE AVG
Wat moet een FG/DPO weten en kunnen?
Antwoord:
Een FG/DPO moet bovengemiddelde vakkennis hebben van privacywetgeving en van de praktijk van gegevensbescherming. De vereiste expertise en vaardigheden omvatten in ieder geval:
- kennis van nationale en Europese privacywet- en regelgeving over gegevensbescherming;
- begrip van de gegevensverwerkingen die de organisatie uitvoert;
- begrip van IT en informatiebeveiliging;
- kennis van de organisatie en de sector waarin die actief is;
- vaardigheden om binnen de organisatie een cultuur van gegevensbescherming te ontwikkelen.
Hoe kan een FG/DPO toezicht houden op het naleven van de privacywet binnen een organisatie?
Antwoord:
Een belangrijke taak van de FG is intern toezicht houden op het naleven van de AVG. Om dit te kunnen doen, kan de FG:
- informatie verzamelen over gegevensverwerkingen binnen de organisatiel;
- deze verwerkingen analyseren en beoordelen of ze aan de wet voldoen;
- informatie, adviezen en aanbevelingen geven aan de organisatie.
Is de FG persoonlijk aansprakelijk als er binnen zijn organisatie een overtreding van de privacywet is?
Antwoord:
Nee, de FG is niet persoonlijk aansprakelijk als er binnen zijn organisatie een overtreding van de privacywet is. De naleving van de privacywet is een verantwoordelijkheid van de verwerkingsverantwoordelijke of de verwerker.
Welke rol speelt de FG bij data protection impact assessment (DPIA)?
Antwoord:
Bij het uitvoeren van een DPIA moet de verwerkingsverantwoordelijke advies inwinnen van de FG. De FG kan advies geven over:
- de afweging om wel of niet een DPIA uit te voeren;
- de onderzoeksmethode die geschikt is voor de DPIA;
- de vraag of de organisatie de DPIA zelf uitvoert of hiervoor een gespecialiseerd bureau inschakelt;
- de waarborgen die nodig zijn om de risico’s voor betrokkenen te beperken;
- de vraag of de uitkomsten van de DPIA in overeenstemming zijn met de wet.
Moet de FG bijhouden welke gegevens de organisatie verwerkt?
Antwoord:
De organisatie is zelf verantwoordelijk om overzicht te houden van de gegevensverwerkingen binnen de organisatie. De FG heeft deze verantwoordelijkheid niet.
Hoe kan een organisatie een datalek melden aan de Autoriteit Persoonsgegevens?
Antwoord:
Een datalek kan gemeld worden via het meldloket datalekken van Autoriteit Persoonsgegevens.