Functionaris gegevensbescherming en CCTV

Nederlandse context

De AVG verplicht bepaalde organisaties tot het aanstellen van een FG: overheidsinstanties, organisaties die op grote schaal bijzondere persoonsgegevens verwerken en organisaties die op grote schaal personen volgen. De Autoriteit Persoonsgegevens publiceert richtlijnen over de FG-rol. De FG moet onafhankelijk kunnen opereren en rapporteert rechtstreeks aan het hoogste management. De beroepsvereniging NGFG (Nederlands Genootschap van Functionarissen voor de Gegevensbescherming) biedt opleidingen en certificeringen.

Kernbegrippen

FG (Functionaris Gegevensbescherming)

Intern of extern aangewezen persoon die toeziet op de naleving van de privacywetgeving. In het Engels: Data Protection Officer (DPO).

Onafhankelijkheid

De FG mag geen instructies ontvangen over de uitoefening van zijn taken en mag niet worden ontslagen of benadeeld vanwege de uitoefening van zijn functie.

Adviserende rol

De FG adviseert over de DPIA, het camerareglement en de bewaartermijnen. Het advies is niet bindend maar moet worden overwogen en gedocumenteerd.

Contactpunt AP

De FG is het eerste aanspreekpunt voor de Autoriteit Persoonsgegevens bij vragen of onderzoeken met betrekking tot de verwerking van persoonsgegevens.

Taken en verantwoordelijkheden

Bij de introductie van CCTV is de FG vanaf het begin betrokken. De FG beoordeelt of een DPIA nodig is en adviseert over de inhoud ervan. Vervolgens toetst de FG het concept-camerareglement aan de AVG-vereisten: is de grondslag juist, is het doel concreet, zijn de bewaartermijnen proportioneel en worden betrokkenen adequaat geïnformeerd?

De FG controleert periodiek of het cameratoezicht in de praktijk overeenkomt met het beleid. Worden beelden daadwerkelijk na de vastgestelde termijn verwijderd? Hebben alleen geautoriseerde personen toegang tot de beelden? Worden verzoeken om inzage van betrokkenen correct afgehandeld? De FG rapporteert bevindingen aan het management en aan de facility manager als operationeel verantwoordelijke.

Voor de facility manager is de FG een kritieke sparringpartner. Betrek de FG bij wijzigingen in het camerasysteem: nieuwe camera's, andere posities, software-updates die analytics activeren. Een camera die gezichtsherkenning toepast, heeft een geheel andere privacyimpact dan een overzichtscamera. De FG heeft doorgaans een juridische of compliance-achtergrond. Specifieke opleidingen zijn het CIPP/E-certificaat (Certified Information Privacy Professional/Europe) van de IAPP en de NGFG-beroepsopleiding.