Moet jouw organisatie een Functionaris voor Gegevensbescherming (FG) aanstellen?

January 31, 2024

De vraag of jouw organisatie verplicht is tot het aanstellen van een FG, mag niet onbeantwoord blijven. Wanneer je verplicht bent om een FG aan te stellen en dat niet doet, kan dit leiden tot schending van de AVG. Het stappenplan in dit blog helpt bij het beslissen of het voor jouw organisatie verplicht is.

Allereerst is het belangrijk dat je weet wat een FG is. Veel functieomschrijvingen lijken op een FG, maar zijn niet hetzelfde, zoals “Privacy officer”, “privacy champion”, “privacy expert”, “privacy lead”, etc. In het kort is een FG een verplichte en onafhankelijke in-house toezichthoudende autoriteit die je organisatie informeert, adviseert en controleert op naleving van de AVG.

Goed, je weet dus wat een FG is en doet. Nu wil je weten of je een FG moet aanstellen voor jouw organisatie. Hieronder is dit stap voor stap uitgewerkt. Heb je haast? Lees dan alleen de vragen. Wil je de uitgebreide uitleg? Lees dan de volledige tekst hieronder.

Bij gebruik van het stappenplan is het belangrijk dat je weet wat de kernactiviteit van jouw organisatie is en of dit op grote schaal plaatsvindt. Deze twee elementen zijn belangrijk bij het beoordelen of jouw organisatie een FG nodig heeft.

Kernactiviteit. Dit is de hoofdactiviteit van jouw onderneming, dus het gaat niet slechts om een nevenactiviteit. Elke activiteit die onlosmakelijk verbonden is met de hoofdactiviteit is onderdeel van de kernactiviteit. Voorbeeld: Het verwerken van medische dossiers is onlosmakelijk verbonden met het verlenen van gezondheidszorg en maakt dus deel uit van de kernactiviteit van een ziekenhuis. Noodzakelijke ondersteunende functies, zoals HR- of IT- activiteiten, zijn niet onlosmakelijk verbonden met de kernactiviteit en worden beschouwd als nevenactiviteit. Formuleer nu de kernactiviteit van jouw organisatie en ga door naar de volgende alinea.

Grote schaal. Wat een verwerking op grote schaal is, is niet wettelijk vastgelegd. In principe wordt het volgende gevraagd: “Verwerk je veel of weinig persoonsgegevens?”, “Verwerk je ze lang of kort?”, “Verwerk je ze van veel of weinig mensen?”. Hoe moet we weten waar je de grens moet trekken? Eigenlijk weet niemand dit precies, omdat het afhankelijk is van jouw onderbouwing. De volgende criteria van Article 29 Working Party (WP29)1 kunnen je hierbij helpen bij het bepalen of het gaat om een verwerking op grote schaal:

Volgens WP29 moet de volgende criteria in acht genomen worden om te bepalen of er sprake is van grootschalige verwerkingen:

  • Specifiek aantal betrokkenen;
  • Aandeel van relevante populatie;
  • Hoeveelheid gegevens;
  • Reeks van verschillende gegevens;
  • Duur van de verwerking;
  • Geografische omvang van de verwerkingsactiviteit. 

WP29 (2) geeft de volgende voorbeelden van grootschalige verwerkingen:

  • Verwerking van patiëntgegevens door een ziekenhuis;
  • Verwerking van reisgegevens van het openbaar vervoer;
  • Verwerking van real time geolocatie gegevens van klanten van een internationale fastfoodketen voor statische doeleinden;
  • Verwerking van klantgegevens in het kader van de normale bedrijfsuitvoering door een verzekeringsmaatschappij of een bank;
  • Verwerking van persoonsgegevens voor behavioural advertising door een zoekmachine;
  • Verwerking van gegevens (inhoud, verkeer, locatie) door aanbieders van telefoon- of internet diensten.

In de volgende gevallen verondersteld WP29 (3) dat er geen sprake is van een grootschalige verwerking:

  • Verwerking van patiëntgegevens door een individuele arts;
  • Verwerking van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten door een individuele advocaat.

Ga nu voor jezelf na of jouw organisatie persoonsgegevens op grote schaal verwerkt. Je bent nu voldoende voorbereid om de volgende vragen te beantwoorden over of je een FG nodig hebt of niet.

Vraag 1: Verwerk je persoonsgegevens in de hoedanigheid van een publieke of overheidsorganisatie?

Antwoord JA: Je bent verplicht een FG aan te stellen.

Antwoord Nee: Ga naar vraag 2.

Toelichting: Rechtbanken die handelen in hun gerechtelijke macht vallen niet onder deze categorie.

Vraag 2: Bestaat de kernactiviteit van jouw organisatie uit het regelmatig en stelselmatig observeren van individuen op grote schaal?

Antwoord JA: Je bent verplicht een FG aan te stellen.

Antwoord NEE: Ga naar vraag 3.

Voorbeeld: Regelmatige en stelselmatige observering zien op observeren volgens een systeem of strategie wat voortdurend of herhaaldelijk voorkomt. (Zowel on- als offline). WP29 (4) geeft de volgende voorbeelden waarvan kan worden uitgegaan dat er sprake is van regelmatige en stelselmatige observering:

  • Besturing van een telecommunicatienetwerk;
  • Verstrekking van telecommunicatiediensten;
  • Retargeting via e-mail;
  • Profilering en scoren voor een risicobeoordeling (b.v. met als doeleinde vaststelling van een kredietscore, verzekeringspremies, fraudepreventie en detectie van het witwassen van geld);
  • Traceren van locatie, bijvoorbeeld door mobiele apps;
  • Loyaliteitsprogramma’s;
  • Reclames gebaseerd op gedrag;
  • Monitoren van wellness-, fitness- en gezondheidsdata via draagbare apparaten;
  • CCTV-camera's;
  • Gekoppelde apparaten b.v. smart meters, smart cars, home automation, etc.

Vraag 3: Bestaat de kernactiviteit van jouw organisatie uit het op grote schaal verwerken van bijzondere persoonsgegevens?

Antwoord JA: Je bent verplicht een FG aan te stellen.

Antwoord NEE: Ga naar vraag 4.

Voorbeeld: Het verwerken van bijzondere persoonsgegevens betreft persoonlijke data over ras, etnische afkomst, politieke opvattingen, religieuze of filosofische overtuigingen, of lidmaatschap van een vakbond, en de verwerking van genetische gegevens, biometrische gegevens met het doel een natuurlijke persoon op unieke wijze te identificeren, gegevens over gezondheid of gegevens over seksuele geaardheid. Deze lijst is limitatief, maar kan breed geïnterpreteerd worden.

Vraag 4: Bestaat de kernactiviteit van jouw organisatie uit het op grote schaal verwerken van strafrechtelijke gegevens?

Antwoord JA: Je bent verplicht een FG aan te stellen.

Antwoord NEE: Je bent niet verplicht om een FG aan te stellen.

Voorbeeld: Wat strafrechtelijke gegevens zijn wordt door nationale wetgeving bepaald. Deze gegevens zien op strafrechtelijke veroordelingen, overtredingen of andere gerelateerde veiligheidsmaatregelen.

Wanneer de uitkomst op vraag 6 het aanstellen van een FG is, moet dit ook gedaan worden. Als het resultaat is dat er geen FG aangesteld hoeft te worden, wees dan niet te snel om hiervan af te zien, er bestaat geen regel zonder uitzondering. Er zijn nog een aantal voorwaarden die je moet overwegen. Elke EU-lidstaat geeft zelf mogelijk meer specifieke voorwaarden met betrekking tot de verplichting van een FG.

In het geval dat je niet verplicht bent om een FG aan te stellen, is dit wel toegestaan op vrijwillige basis. Deze optie is te overwegen, gezien het een toegevoegde waarde kan zijn voor jouw organisatie wanneer het gaat om de naleving van de AVG. Bedenk hierbij wel dat een vrijwillig aangestelde FG dezelfde rechten en plichten heeft als een verplicht aangestelde FG.

1 WP29, Guidelines on Data Protection Officers ('DPOs'), pagina 7.

2 WP29, Guidelines on Data Protection Officers ('DPOs'), pagina 8.

3 WP29, Guidelines on Data Protection Officers ('DPOs'), pagina 8.

4 WP29, Guidelines on Data Protection Officers ('DPOs'), pagina 8-9.

Download
Mateus
Adviseur