“Wanneer zijn wij als bedrijf verplicht een Functionaris Gegevensbescherming aan te stellen? Wij zijn een autobedrijf met 30 medewerkers, dus geen overheidsinstantie of publieke instelling”.
We merken dat er veel vragen zijn over dit onderwerp. Daarom gaan we eerst in op de theorie en geven daarna een aantal praktijkvoorbeelden.
Kort gezegd is een Functionaris Gegevensbescherming (FG) binnen een organisatie de deskundige die toeziet op de naleving van de AVG en het privacybeleid van de organisatie. Hij of zij adviseert ook over de naleving van de wetgeving. Een organisatie moet in drie gevallen verplicht een functionaris voor de gegevensbescherming aanstellen.
In deze gevallen is een Functionaris Gegevensbescherming verplicht
1. Als de organisatie een overheidsinstelling is
Wanneer een organisatie een overheidsinstelling betreft, zijn zij altijd verplicht om een FG aan te stellen. Denk hierbij aan de overheid en gemeentes of zorg- en onderwijsinstellingen. Ook publieke gezondheidsorganisaties, zoals de GGD en het RIVM vallen hieronder.
2. Als de organisatie het regelmatig en stelselmatig en op grote schaal observeren van personen als kerntaak heeft
Organisaties die zich hoofdzakelijk bezighouden met het stelselmatig observeren van personen, dienen een FG aan te stellen. Denk hierbij aan internetbedrijven die gegevens van bezoekers verzamelen om advertenties op maat aan te bieden maar ook aan organisaties die doen aan location tracking of aan het monitoren van verkeer op telecomdiensten- en netwerken.
3. Als de organisatie als hoofdtaak heeft om op grote schaal bijzondere persoonsgegevens te verwerken.
Als een organisatie als hoofdactiviteit het op grote schaal verwerken van bijzondere persoonsgegevens heeft, is het wettelijk verplicht om een Functionaris voor Gegevensbescherming (FG) aan te stellen. Voorbeelden zijn verzekeringsmaatschappijen die gezondheidsgegevens verwerken voor het afsluiten van verzekeringen of farmaceutische bedrijven die gegevens van patiënten verwerken in het kader van klinische proeven.
Dit is de theorie, maar hoe leg je dit nu uit in de praktijk?
In het geval van het autobedrijf is dat makkelijk: deze behoort niet tot een van de bovenstaande groepen en hoeft dan ook niet verplicht een FG aan te stellen. Natuurlijk verwerken zij persoonsgegevens en moeten ze daar zorgvuldig mee omgaan, maar een verplichting voor een FG is er niet.
De Functionaris Gegevensbescherming in de zorg
Aangenomen wordt dat individuele artsen en fysiotherapeuten ook geen FG hoeven aan te stellen aangezien de verwerking van patiëntgegevens door een individuele behandelaar niet kwalificeert als een verwerking op grote schaal. Maar hoe is dat in het geval van een fysiotherapiepraktijk met tien vestigingen?
Hierin moet je als organisatie zelf een zorgvuldige afweging maken: Als fysiotherapiepraktijk met 10 vestigingen verwerk je veel, ook bijzondere, persoonsgegevens van veel patiënten. In dat geval is het waarschijnlijk dat je verplicht bent een Functionaris voor Gegevensbescherming (FG) aan te stellen.
Is dat ook het geval bij bijvoorbeeld een psychologenpraktijk met twee vestigingen? Dit is een grensgeval. Als praktijk met twee vestigingen zul je bijzondere gegevens verwerken maar is het de vraag of dit op ‘grote schaal’ is in de zin van de AVG. Leg goed vast welke afwegingen je bij de keuze wel of niet FG maakt.
Ook als je niet kiest voor het aanstellen van een FG is het verstandig om iemand aan te wijzen als privacy officer
Vrijwillig een FG aanstellen
Belangrijk om te vermelden is dat je ook vrijwillig een FG kunt aanstellen. Dus ook als de AVG zegt dat het niet hoeft, mag het wel. Houd er dan wel rekening mee dat de organisatie moet voldoen aan de eisen die de AVG stelt aan de FG. Dit is wellicht wat te zwaar voor een kleinere praktijk maar bedenk verder dat een FG meerdere organisaties kan bedienen, dat een FG ook extern kan worden ingehuurd en dat het niet per se een voltijdsaanstelling hoeft te zijn.
Ook als je niet kiest voor het aanstellen van een FG is het verstandig om iemand aan te wijzen als privacy officer of privacy contactpersoon (dat kan ook een bestaande medewerker zijn die deze werkzaamheden oppakt). Deze medewerker houdt zich bezig met de bescherming van persoonsgegevens, maar heeft niet de officiële titel en de verplichtingen die bij de rol van FG horen.
Wist je dat je je FG officieel aan moet melden bij de Autoriteit Persoonsgegevens? Dit kan via een formulier op de website van de AP.
Maarten Roelfs is voorzitter van de Stichting AVG. In de rubriek Ondernemersvragen beantwoordt hij vragen van ondernemers over privacy en de AVG.
Stel hem via het contactformulier. Misschien verschijnt jouw vraag én ons antwoord dan in deze rubriek.
Het bericht Wanneer is een Functionaris Gegevensbescherming verplicht? verscheen eerst op AVG-Programma.