Stel, jouw organisatie verwerkt persoonsgegevens die onder de Wpg vallen. Bijvoorbeeld omdat jouw organisatie boa’s inzet die opsporingstaken uitvoeren (denk aan gemeentelijke handhaving, parkeercontroleurs, leerplichtambtenaren, boswachters en milieuambtenaren). Je bent dan vanuit de Wpg verplicht om een FG aan te stellen. Stel nu dat je al een FG hebt aangesteld voor verwerkingen van persoonsgegevens onder de AVG. Je hoeft in dat geval geen specifieke FG voor de Wpg aan te stellen, want de AVG-FG is namelijk ook verantwoordelijk voor verwerkingen van persoonsgegevens onder de Wpg.
Let op: de aangestelde FG moet wel deskundig zijn op het gebied van de wetgeving, dus AVG én Wpg. Mocht dit niet het geval zijn, dan kan ervoor gekozen worden om een extra Wpg-FG aan te stellen (let er daarbij op dat de oorspronkelijke FG-aanmelding moet worden aangevuld; je behoudt dan één FG-nummer voor beide FG’s).
In de Wpg is deze eis strenger geformuleerd dan in de AVG. De Wpg-FG moet namelijk (volgens artikel 36 lid 4 Wpg) ieder jaar een schriftelijk verslag uitbrengen van zijn of haar bevindingen over de naleving van de Wpg. Onder de AVG is een dergelijk schriftelijk verslag niet verplicht, al zie je in de praktijk vaak wel dat de FG een jaarverslag oplevert.
Onder de AVG kent de FG ontslagbescherming, wat inhoudt dat de FG ‘niet ontslagen of gestraft wordt voor de uitvoering van zijn taken’ (artikel 38 AVG). De Wpg-FG geniet deze ontslagbescherming niet, aangezien hier in de Wpg niet over gesproken wordt.
Bovenstaande betekent overigens niet dat de AVG-FG helemaal niet ontslagen kan worden, want dit is wel mogelijk als hier andere redenen aan ten grondslag liggen dan het uitvoeren van zijn of haar taken als FG. Denk bijvoorbeeld aan gevallen als diefstal, intimidatie of soortgelijke (zware) misdragingen.
Organisaties hebben in de AVG in bepaalde gevallen de plicht om een gegevensbeschermingseffectbeoordeling uit te voeren (in de volksmond: GEB, DPIA of PIA). Hiermee breng je als organisatie de privacyrisico’s van een geplande gegevensverwerking in kaart en bepaal je maatregelen om deze risico’s te verkleinen. De AVG-FG heeft hierin een adviesfunctie (artikel 39 AVG).
Bij de Wpg heb je al snel te maken met bijzondere (want in de richting van strafrechtelijke) persoonsgegevens. In dergelijke gevallen zal vrijwel altijd een DPIA uitgevoerd moeten worden. Ook de Wpg-FG heeft hierin volgens artikel 36 Wpg een adviesrol.
Alle organisaties die Boa’s in dienst hebben, moeten verplicht eens in de vier jaar een externe Wpg-audit uit laten voeren. Naast de externe audit moeten deze organisaties ook jaarlijks een verplichte, interne Wpg-audit uitvoeren. Deze interne audit mag niet worden uitgevoerd door de AVG of Wpg-FG. De FG houdt namelijk toezicht op de naleving van de Wpg in zijn/haar organisatie. De FG houdt vanuit die taak ook toezicht op de naleving van de auditverplichting en de kwaliteit van de audits. Het zelf uitvoeren van audits zou daarmee strijdig zijn.
In de NOREA-handreiking voor de Wpg is door de toezichthouder verder gespecificeerd (in norm 31) waar de Wpg-FG precies toezicht op dient te houden. Dit kan fungeren als een handig houvast voor de Wpg-FG. Volgens de handreiking dient de FG toezicht te houden op:
Wil je nóg meer weten over de FG(‘s) en alles wat daarmee te maken heeft? Neem dan gerust contact met mij op!
Neem dan gerust contact op met Steven Kant.
Consultant