Functionaris Gegevensbescherming: wanneer verplicht?

Wanneer is een Functionaris Gegevensbescherming verplicht

“Wanneer zijn wij als bedrijf verplicht een Functionaris Gegevensbescherming aan te stellen? Wij zijn een autobedrijf met 30 medewerkers, dus geen overheidsinstantie of publieke instelling”.

We merken dat er veel vragen zijn over dit onderwerp. Daarom gaan we eerst in op de theorie en geven daarna een aantal praktijkvoorbeelden.

Kort gezegd is een Functionaris Gegevensbescherming binnen een organisatie de deskundige die toeziet op de naleving van de AVG en het privacybeleid van de organisatie. Hij of zij adviseert ook over de naleving van de wetgeving.

Taken van de Functionaris Gegevensbescherming

Een Functionaris Gegevensbescherming heeft verschillende taken. Hij of zij:

  • Informeert en adviseert over verplichtingen

Een Functionaris Gegevensbescherming staat ook wel bekend als Data Protection Officer (DPO). De Functionaris Gegevensbescherming is verantwoordelijk voor het waarborgen van de privacy van persoonsgegevens binnen een organisatie. Deze verantwoordelijkheid geldt voor zowel medewerkers als klanten en andere externe betrokkenen. De Functionaris Gegevensbescherming geeft advies aan de organisatie over het naleven van de AVG. Daarnaast informeert en adviseert de FG over alle verplichtingen die een organisatie heeft als het gaat om gegevensbescherming.

De rol van een Functionaris Gegevensbescherming omvat ook het bevorderen van privacybewustzijn binnen de organisatie. Medewerkers moeten op de hoogte zijn van de AVG en begrijpen wat hun verantwoordelijkheden zijn. De Functionaris Gegevensbescherming speelt hierbij een centrale rol.

  • Houdt toezicht op de naleving van de AVG

De belangrijkste taak van een Functionaris Gegevensbescherming is toezien op de naleving van de AVG binnen de organisatie. De Functionaris Gegevensbescherming fungeert als contactpersoon voor betrokkenen en toezichthouders. Betrokkenen kunnen contact opnemen met de FG voor vragen en klachten over de verwerking van hun persoonsgegevens.

  • Treedt op als contactpunt over verwerking persoonsgegevens

De Functionaris Gegevensbescherming kan actief betrokken zijn bij de beoordeling van datalekken. Dit omvat ook de beslissing of een datalek moet worden gemeld bij de Autoriteit Persoonsgegevens en aan de getroffen betrokkenen.

  • Adviseert bij de uitvoering van een privacy assessment

De Functionaris Gegevensbescherming beoordeelt privacy assessments om risico’s bij de verwerking van persoonsgegevens te begrijpen. Deze beoordelingen geven inzicht in welke maatregelen een bedrijf moet nemen om risico’s te minimaliseren. De Functionaris Gegevensbescherming adviseert bij de uitvoering van deze beoordelingen, inclusief de voorgestelde maatregelen. De Functionaris Gegevensbescherming kan ook een rol spelen bij de evaluatie van de effectiviteit van genomen maatregelen.

NB. Een privacy assessment is een evaluatieproces waarbij de mogelijke privacyrisico’s van een project of activiteit worden beoordeeld om ervoor te zorgen dat persoonsgegevens op een wettige en privacyvriendelijke manier worden verwerkt.

Zelf de AVG regelen voor jouw organisatie?

Regel alle onderdelen van de AVG zelfstandig via onze online werkomgeving, zonder duizenden euro’s uit te geven aan juridisch advies.

Probeer 30 dagen gratis
AVG zelf regelen

Externe Functionaris Gegevensbescherming

Een organisatie mag ook iemand van buiten aanstellen als Functionaris Gegevensbescherming (FG). Je kunt hiervoor een gespecialiseerd bedrijf inschakelen. Vaak stellen zij één specifieke persoon aan die de eindverantwoordelijkheid draagt voor de FG-functie. Deze persoon wordt ook officieel geregistreerd bij de Autoriteit Persoonsgegevens als de FG.

Het voordeel is dat externe experts doorgaans een breder scala aan kennis en ervaring hebben dan de gemiddelde interne medewerker die voor deze rol wordt aangewezen. Ook hebben zij een groot netwerk en een gespecialiseerd bedrijf achter zich staan.

Stel je voor dat de organisatie nieuwe gegevensverwerkingstechnologie wil implementeren die potentieel grote risico’s met zich meebrengt voor de privacy van persoonsgegevens. In dit geval kan de externe FG experts uit zowel zijn of haar netwerk als de eigen organisatie inschakelen. De FG kan bijvoorbeeld een beroep doen op IT-specialisten, juridische adviseurs, beveiligingsexperts en compliance-medewerkers. Deze experts kunnen helpen bij het identificeren van risico’s, het formuleren van passende maatregelen en het waarborgen van de naleving van de privacywetgeving.

In deze gevallen is een Functionaris Gegevensbescherming verplicht

1. Als de organisatie een overheidsinstelling is

Wanneer een organisatie een overheidsinstelling betreft, zijn zij altijd verplicht om een Functionaris Gegevensbescherming aan te stellen. Denk hierbij aan de overheid en gemeentes of zorg- en onderwijsinstellingen. Ook publieke gezondheidsorganisaties, zoals de GGD en het RIVM vallen hieronder.

2. Als de organisatie het regelmatig en stelselmatig en op grote schaal observeren van personen als kerntaak heeft

Organisaties die zich hoofdzakelijk bezighouden met het stelselmatig observeren van personen, dienen een Functionaris Gegevensbescherming aan te stellen. Denk hierbij aan internetbedrijven die gegevens van bezoekers verzamelen om advertenties op maat aan te bieden maar ook aan organisaties die doen aan location tracking of aan het monitoren van verkeer op telecomdiensten- en netwerken.

3. Als de organisatie als hoofdtaak heeft om op grote schaal bijzondere persoonsgegevens te verwerken.

Als een organisatie als hoofdactiviteit het op grote schaal verwerken van bijzondere persoonsgegevens heeft, is het wettelijk verplicht om een Functionaris voor Gegevensbescherming aan te stellen. Voorbeelden zijn verzekeringsmaatschappijen die gezondheidsgegevens verwerken voor het afsluiten van verzekeringen of farmaceutische bedrijven die gegevens van patiënten verwerken in het kader van klinische proeven.

Dit is de theorie, maar hoe leg je dit nu uit in de praktijk?

In het geval van het autobedrijf is dat makkelijk: deze behoort niet tot een van de bovenstaande groepen en hoeft dan ook niet verplicht een Functionaris Gegevensbescherming aan te stellen. Natuurlijk verwerken zij persoonsgegevens en moeten ze daar zorgvuldig mee omgaan, maar een verplichting voor een Functionaris Gegevensbescherming is er niet.

Hoe stel je een Functionaris Gegevensbescherming aan?

Het aanstellen van een Functionaris Gegevensbescherming verloopt via de volgende stappen:

  • Bepaal of je verplicht bent een Functionaris Gegevensbescherming (FG) aan te stellen: Volgens de privacywetgeving (AVG) moet je een FG aanstellen als je als organisatie regelmatig en op grote schaal persoonsgegevens verwerkt, bijvoorbeeld als je gegevens van klanten of medewerkers verwerkt.
  • Kies intern of extern: Je kunt ervoor kiezen om iemand intern aan te stellen, bijvoorbeeld een medewerker die al bekend is met de organisatie, of je kunt een extern bedrijf inschakelen dat gespecialiseerd is in gegevensbescherming.
  • Zoek een geschikte kandidaat: Als je intern iemand aanstelt, zoek dan iemand met kennis van gegevensbescherming. Als je extern gaat, kies dan een betrouwbaar bedrijf met expertise in dit gebied.
  • Leg de verantwoordelijkheden vast: Maak duidelijk wat de taken en verantwoordelijkheden van de FG zullen zijn, zoals toezicht houden op gegevensbescherming, adviseren van de organisatie en fungeren als contactpunt voor vragen over privacy.
  • Meld de FG aan: Als je een FG hebt aangesteld, moet je deze persoon of het externe bedrijf aanmelden bij de Autoriteit Persoonsgegevens, de privacytoezichthouder.
  • Werk samen met de FG: Zorg ervoor dat de FG goed samenwerkt met alle afdelingen binnen je organisatie om de privacy van persoonsgegevens te waarborgen.

Het aanstellen van een FG is belangrijk om te voldoen aan privacywetgeving en om de gegevens van je klanten en medewerkers te beschermen. Het kan helpen om advies in te winnen bij experts om ervoor te zorgen dat je de juiste stappen onderneemt.

Regelmatige observatie

Organisaties die als kernactiviteit op grote schaal regelmatig en systematisch betrokkenen observeren, zoals bijvoorbeeld beveiligingsbedrijven die toezicht houden via beveiligingscamera’s, zijn verplicht een Functionaris Gegevensbescherming aan te stellen. Een kernactiviteit wordt gedefinieerd als een essentiële activiteit voor de bedrijfsvoering, en het niveau van observatie kan aanzienlijke gevolgen hebben voor de hoeveelheid persoonsgegevens die verwerkt worden.

Laten we dit illustreren met een voorbeeld. Stel je een winkelketen voor die beveiligingscamera’s gebruikt om de veiligheid van haar klanten en werknemers te waarborgen. In dit geval is het observeren van bezoekers en het monitoren van de camerabeelden een kernactiviteit omdat het direct bijdraagt aan de belangrijkste doelstellingen van de organisatie: de veiligheid van de winkelomgeving.

De schaal van persoonsgegevensverwerking wordt bepaald door verschillende factoren, waaronder het aantal betrokkenen dat wordt geobserveerd en de reikwijdte van de observatie. Als de winkelketen meerdere filialen heeft en duizenden klanten dagelijks observeert, is de hoeveelheid persoonsgegevens die wordt verwerkt aanzienlijk.

Het is van groot belang dat organisaties die dergelijke observaties uitvoeren, de omvang van deze gegevensverwerking rapporteren aan het management. Dit helpt niet alleen bij het waarborgen van naleving van de Algemene Verordening Gegevensbescherming (AVG), maar ook bij het bewust omgaan met de privacy van betrokkenen en het minimaliseren van risico’s met betrekking tot gegevensbescherming. De FG speelt hierbij een cruciale rol door toezicht te houden op de gegevensverwerking en advies te geven over hoe deze in overeenstemming met de AVG kan worden uitgevoerd.

De Functionaris Gegevensbescherming in de zorg

Aangenomen wordt dat individuele artsen en fysiotherapeuten ook geen Functionaris Gegevensbescherming hoeven aan te stellen aangezien de verwerking van patiëntgegevens door een individuele behandelaar niet kwalificeert als een verwerking op grote schaal. Maar hoe is dat in het geval van een fysiotherapiepraktijk met tien vestigingen?

Hierin moet je als organisatie zelf een zorgvuldige afweging maken: Als fysiotherapiepraktijk met 10 vestigingen verwerk je veel, ook bijzondere, persoonsgegevens van veel patiënten. In dat geval is het waarschijnlijk dat je verplicht bent een Functionaris voor Gegevensbescherming aan te stellen.

Is dat ook het geval bij bijvoorbeeld een psychologenpraktijk met twee vestigingen? Dit is een grensgeval. Als praktijk met twee vestigingen zul je bijzondere gegevens verwerken maar is het de vraag of dit op ‘grote schaal’ is in de zin van de AVG. Leg goed vast welke afwegingen je bij de keuze wel of niet Functionaris Gegevensbescherming maakt.

Wanneer is een Functionaris Gegevensbescherming verplicht

Ook als je niet kiest voor het aanstellen van een Functionaris Gegevensbescherming is het verstandig om iemand aan te wijzen als privacy officer

Vrijwillig een FG aanstellen

Belangrijk om te vermelden is dat je ook vrijwillig een FG kunt aanstellen. Dus ook als de AVG zegt dat het niet hoeft, mag het wel. Houd er dan wel rekening mee dat de organisatie moet voldoen aan de eisen die de AVG stelt aan de FG. Dit is wellicht wat te zwaar voor een kleinere praktijk maar bedenk verder dat een FG meerdere organisaties kan bedienen, dat een FG ook extern kan worden ingehuurd en dat het niet per se een voltijdsaanstelling hoeft te zijn.

Ook als je niet kiest voor het aanstellen van een FG is het verstandig om iemand aan te wijzen als privacy officer of privacy contactpersoon (dat kan ook een bestaande medewerker zijn die deze werkzaamheden oppakt). Deze medewerker houdt zich bezig met de bescherming van persoonsgegevens, maar heeft niet de officiële titel en de verplichtingen die bij de rol van FG  horen.

Wist je dat je je FG officieel aan moet melden bij de Autoriteit Persoonsgegevens? Dit kan via een formulier op de website van de AP.

Maarten Roelfs

Maarten Roelfs is voorzitter van de Stichting AVG. In de rubriek Ondernemersvragen beantwoordt hij vragen van ondernemers over privacy en de AVG.

Heb je ook een vraag over de AVG?

Stel hem via het contactformulier. Misschien verschijnt jouw vraag én ons antwoord dan in deze rubriek.

Meer nieuws

Mag je een ledenbestand op een privécomputer bewaren?

Een vereniging vroeg ons: Wij hebben verschillende leden die ons ledenbestand bijhouden. Zij doen dat op hun privécomputer, uiteraard met de nodige veiligheidsmaatregelen. Mag dat? De expert geeft antwoord. Lees meer

Foto’s delen volgens de AVG-regels in kinderdagverblijven

Op scholen en kinderdagverblijven worden veel foto's gemaakt en gedeeld. Maar wat mag nu wel en niet als het gaat om het delen van foto’s? Lees meer

Sollicitanten en privacy: wat mag wel en wat mag niet?

De juridische helpdesk ontvangt vaak vragen over waar je op moet letten iin het sollicitatieproces. Wij leggen het je uit. Lees meer