Door Jan-Jitze Hees en Ad Boumans
Wanneer moet je een Functionaris Gegevensbescherming aanstellen?
Een Functionaris Gegevensbescherming (FG) vervult meerdere rollen zoals die van interne adviseur, aanspreekpunt voor de Autoriteit Persoonsgegevens en die van een interne toezichthouder op het gebied van privacy. Hij/zij is op dat punt in zekere zin te vergelijken met bijvoorbeeld de rol van een accountant inzake de financiële administratie. De FG helpt een organisatie in control te komen en te blijven van haar privacygevoelige data. De FG kan bovendien niet ontslagen worden op grond van zijn inhoudelijke standpunten op het gebied van privacy. Niet alle organisaties hoeven overigens een FG aan te stellen. Er is een aantal factoren die hiervoor bepalend zijn. Dit zijn de drie belangrijkste:
1. Publiekrechtelijke dienst of een overheidsorgaan?
De aanstelling van een FG is verplicht voor de overheid, zowel op nationaal, regionaal of lokaal niveau. Dat kan dus bijvoorbeeld een ministerie of gemeente zijn. Voor organisaties die een publiekrechtelijke taak uitvoeren geldt deze verplichting ook, bijvoorbeeld voor een school of een woningcorporatie. De Aanbestedingsrichtlijn kan als leidraad gebruikt worden om te bepalen of een organisatie een publiekrechtelijke dienst uitvoert of niet. De volgende twee factoren zijn overigens eveneens van belang voor private partijen.
2. Stelselmatige en grootschalige observatie van personen?
Indien een bedrijf of instelling voor haar kerntaken op grote schaal persoonsgegevens van personen nodig heeft, dan zal deze organisatie goed de privacy van de betrokkenen moeten kunnen waarborgen. Het klinkt misschien verassend, maar de definitie van ‘grootschalige observatie’ wordt niet volledig afgebakend in de AVG. De Autoriteit Persoonsgegevens heeft hier ook nog geen exacte, waterdichte definitie voor. Er is echter wel een indicatie te geven wat voor een soort organisatie bedoeld wordt. Je kan hier bijvoorbeeld denken aan een online zoekmachine, een landelijk enquêtebureau, een verzekeringsmaatschappij, een ziekenhuis of een internetprovider.
Voorheen waren organisaties met meer dan 250 werknemers verplicht een FG aan te stellen. Dit criterium is onder hand komen te vervallen. Kleine organisaties die ‘stelselmatige en grootschalige’ observatie en verwerking van personen uitvoeren, zullen dus ook een FG moeten aanstellen. De schaal van de stelselmatige observatie staat dus centraal bij het aanstellen van een FG.
Voorheen waren organisaties met meer dan 250 werknemers verplicht een FG aan te stellen. Dit criterium is onder hand komen te vervallen. Kleine organisaties die ‘stelselmatige en grootschalige’ observatie en verwerking van personen uitvoeren, zullen dus ook een FG moeten aanstellen. De schaal van de stelselmatige observatie staat dus centraal bij het aanstellen van een FG.
3. Bijzondere persoonsgegevens?
Tot slot is er nog één belangrijke voorwaarde voor het aanstellen van een FG. Dat gaat om de aard van de verwerkte persoonsgegevens. Bijzondere persoonsgegevens zijn kenmerkende gegevens over iemands’ geslacht, ras, geloofsovertuiging, politieke mening, seksuele voorkeur of gezondheid. In een notendop zijn bijzondere persoonsgegevens dus in zekere zin te zien als persoonsgegevens die ‘inhoudelijk’ iets zeggen over iemands’ persoonlijkheid en/of manier van leven. Zodra een organisatie, wederom op grote schaal, dergelijke gegevens verwerkt, is zij verplicht om een FG aan te stellen.
Een ander voorbeeld van een bijzonder persoonsgegeven is een pas of profielfoto. Een foto zegt natuurlijk niet iets over je persoonlijkheid of manier van leven. Het onthult wel iemands geslacht en huidskleur. Daarom wordt een pas- of profielfoto eveneens gezien als een bijzonder persoonsgegeven.
Een ander voorbeeld van een bijzonder persoonsgegeven is een pas of profielfoto. Een foto zegt natuurlijk niet iets over je persoonlijkheid of manier van leven. Het onthult wel iemands geslacht en huidskleur. Daarom wordt een pas- of profielfoto eveneens gezien als een bijzonder persoonsgegeven.
Vrijwillig een Functionaris Gegevensbescherming aanstellen?
Soms kan het met deze criteria nog knap lastig zijn om te bepalen of het nu verplicht is een FG aan te stellen of niet. U kunt natuurlijk ook vrijwillig een FG aanstellen. Dat laat tenslotte zien dat de organisatie de privacy van haar betrokkenen zeer serieus neemt. Het kan bovendien het vertrouwen in de betreffende organisatie versterken bij leden, aandeelhouders, consumenten en andere stakeholders.
Dit kan bijvoorbeeld spelen indien er concrete plannen zijn om in de nabije toekomst big data gaat gebruiken, waarbij persoonsgegevens worden verwerkt. Of wanneer op korte termijn schaalvergroting van de stelselmatige observatie van personen plaats zal vinden.
Dit kan bijvoorbeeld spelen indien er concrete plannen zijn om in de nabije toekomst big data gaat gebruiken, waarbij persoonsgegevens worden verwerkt. Of wanneer op korte termijn schaalvergroting van de stelselmatige observatie van personen plaats zal vinden.
Is het wel echt nodig om privacy zó serieus te nemen?
Het is nog al wat om de rol van een Functionaris Gegevensbescherming te vergelijken met die van een accountant. De waarde van persoonsgegevens kan echter eigenlijk niet meer onderschat worden. Tenslotte komt het gebruik van persoonsgegevens steeds centraler te staan in besluitvorming in het bedrijfsleven en de overheid. Met de ingang van de AVG riskeert men bovendien een forse boete indien men niet in control is van zijn verwerking van persoonsgegevens.
Hierboven zijn al enkele voorbeelden genoemd van organisaties waarvoor het raadzaam, al dan niet verplicht, kan zijn om een FG aan te stellen. Zijn er echter ook organisaties, waarvoor de Europese privacy verordening niet zo belangrijk is om te implementeren? In de volgende blogpost, gaan we verder in op deze vraag: wanneer moet AVG-compliance een hoge prioriteit hebben?
Hierboven zijn al enkele voorbeelden genoemd van organisaties waarvoor het raadzaam, al dan niet verplicht, kan zijn om een FG aan te stellen. Zijn er echter ook organisaties, waarvoor de Europese privacy verordening niet zo belangrijk is om te implementeren? In de volgende blogpost, gaan we verder in op deze vraag: wanneer moet AVG-compliance een hoge prioriteit hebben?
RSS-feed