Transcriptum
  • Home
  • Dienstverlening
    • Datakwaliteit
    • Datamigratie
    • Master Data Management
    • Documenten
    • Privacy en Security
    • Data-architectuur
    • Data Governance
  • Trainingen
    • Workshop Privacybescherming
    • Training Datakwaliteit
    • Training Enterprise Content Management
  • Wie zijn wij?
  • Brochures
  • Publicaties
    • Projectervaringen >
      • Enterprise Document Management Strategie
      • Fuzzy Matching bij Rijkswaterstaat
      • DAF Trucks MS CRM
      • Transitie pensioenadministratie
      • Bosch Rexroth SAP-HR
      • Rabo Vastgoed HR integratie
  • Blog
  • Contact

Wel of geen Functionaris Gegevensbescherming

28/8/2017

1 Reactie

 
Door Jan-Jitze Hees en Ad Boumans

Wanneer moet je een Functionaris Gegevensbescherming aanstellen?

Foto
​Een Functionaris Gegevensbescherming (FG) vervult meerdere rollen zoals die van interne adviseur, aanspreekpunt voor de Autoriteit Persoonsgegevens en die van een interne toezichthouder op het gebied van privacy. Hij/zij is op dat punt in zekere zin te vergelijken met bijvoorbeeld de rol van een accountant inzake de financiële administratie. De FG helpt een organisatie in control te komen en te blijven van haar privacygevoelige data. De FG kan bovendien niet ontslagen worden op grond van zijn inhoudelijke standpunten op het gebied van privacy. Niet alle organisaties hoeven overigens een FG aan te stellen. Er is een aantal factoren die hiervoor bepalend zijn. Dit zijn de drie belangrijkste:

1. Publiekrechtelijke dienst of een overheidsorgaan?

De aanstelling van een FG is verplicht voor de overheid, zowel op nationaal, regionaal of lokaal niveau. Dat kan dus bijvoorbeeld een ministerie of gemeente zijn. Voor organisaties die een publiekrechtelijke taak uitvoeren geldt deze verplichting ook, bijvoorbeeld voor een school of een woningcorporatie. De  Aanbestedingsrichtlijn kan als leidraad gebruikt worden om te bepalen of een organisatie een publiekrechtelijke dienst uitvoert of niet. De volgende twee factoren zijn overigens eveneens van belang voor private partijen.

2.  Stelselmatige en grootschalige observatie van personen?

Indien een bedrijf of instelling voor haar kerntaken op grote schaal  persoonsgegevens van personen nodig heeft, dan zal deze organisatie goed de privacy van de betrokkenen moeten kunnen waarborgen. Het klinkt misschien verassend, maar de definitie van ‘grootschalige observatie’ wordt niet volledig afgebakend in de AVG. De Autoriteit Persoonsgegevens heeft hier ook nog geen exacte, waterdichte definitie voor. Er is echter  wel een indicatie te geven wat voor een soort organisatie bedoeld wordt. Je kan hier bijvoorbeeld denken aan een online zoekmachine, een landelijk enquêtebureau, een verzekeringsmaatschappij, een ziekenhuis of een internetprovider.

Voorheen waren organisaties met meer dan 250 werknemers verplicht een FG aan te stellen. Dit criterium is onder hand komen te vervallen. Kleine organisaties die ‘stelselmatige en grootschalige’ observatie en verwerking van personen uitvoeren, zullen dus ook een FG moeten aanstellen. De schaal van de stelselmatige observatie staat dus centraal bij het aanstellen van een FG.

3. Bijzondere persoonsgegevens?

Tot slot is er nog één belangrijke voorwaarde voor het aanstellen van een FG. Dat gaat om de aard van de verwerkte persoonsgegevens. Bijzondere persoonsgegevens zijn kenmerkende gegevens over iemands’ geslacht, ras, geloofsovertuiging, politieke mening, seksuele voorkeur of gezondheid. In een notendop zijn bijzondere persoonsgegevens dus in zekere zin te zien als persoonsgegevens die ‘inhoudelijk’ iets zeggen over iemands’ persoonlijkheid en/of manier van leven. Zodra een organisatie, wederom op grote schaal, dergelijke gegevens verwerkt, is zij verplicht om een FG aan te stellen.

Een ander voorbeeld van een bijzonder persoonsgegeven is een pas of profielfoto. Een foto zegt natuurlijk niet iets over je persoonlijkheid of manier van leven. Het onthult wel iemands geslacht en huidskleur. Daarom wordt een pas- of profielfoto eveneens gezien als een bijzonder persoonsgegeven.

Vrijwillig een Functionaris Gegevensbescherming aanstellen?

Soms kan het met deze criteria nog knap lastig zijn om te bepalen of het nu verplicht is een FG aan te stellen of niet. U kunt natuurlijk ook vrijwillig een FG aanstellen. Dat laat tenslotte zien dat de organisatie de privacy van haar betrokkenen zeer serieus neemt. Het kan bovendien het vertrouwen in de betreffende organisatie versterken bij  leden, aandeelhouders, consumenten en andere stakeholders.
​
Dit kan bijvoorbeeld spelen indien er concrete plannen zijn om in de nabije toekomst big data gaat gebruiken, waarbij persoonsgegevens worden verwerkt. Of wanneer op korte termijn schaalvergroting van de stelselmatige observatie van personen plaats zal vinden. 

Is het wel echt nodig om privacy zó serieus te nemen?

Het is nog al wat om de rol van een Functionaris Gegevensbescherming te vergelijken met die van een accountant. De waarde van persoonsgegevens kan echter eigenlijk niet meer onderschat worden. Tenslotte komt het gebruik van persoonsgegevens steeds centraler te staan in besluitvorming in het bedrijfsleven en de overheid. Met de ingang van de AVG riskeert men bovendien een forse boete indien men niet in control is van zijn verwerking van persoonsgegevens.
 
Hierboven zijn al enkele voorbeelden genoemd van organisaties waarvoor het raadzaam, al dan niet verplicht, kan zijn om een FG aan te stellen. Zijn er echter ook organisaties, waarvoor  de Europese privacy verordening niet zo belangrijk is om te implementeren? In de volgende blogpost, gaan we verder in op deze vraag:  wanneer moet AVG-compliance een hoge prioriteit hebben?
1 Reactie
Gerald C link
13/1/2021 05:45:24

Greaat blog I enjoyed reading

Antwoord



Laat een antwoord achter.

    Alle blogposts

    Privacyblogs:

    Overdraagbaarheid persoonsgegevens
    Een jaarlang voorbereiden op de AVG
    ​Complicancecheck voor uw privacystatement
    Wel of geen Functionaris Gegevensbescherming
    ​Urgentie - vergelijking met de fipronil-affaire
    Ondernemend Nederland over Privacy

    Categorieën:

    Alles
    Big Data
    Business Case
    Content Management
    Datakwaliteit
    Datamanagement
    Datamatching
    Datamigratie
    Metadata
    Microsoft Crm
    Ongestructureerde Data
    Privacy
    Projectmanagement

    Archief

    Oktober 2017
    September 2017
    Augustus 2017
    Juni 2017
    Januari 2017
    Juni 2016
    Maart 2016
    December 2015
    December 2013
    Juli 2013
    Mei 2013

    RSS-feed

Home
​​Wie zijn wij?
​Publicaties
Blog
Contact
Dienstverlening
​- Datakwaliteit
- Datamigratie
​- Master Data Management
​- Documenten
- Privacy & Security
- Data-architectuur
​- Data Governance
Privacystatement
​Disclaimer
© Transcriptum B.V.