Enige tijd geleden informeerde ik u al over de start van controles uitgevoerd door de Autoriteit Persoonsgegevens (AP). Controles die specifiek zagen op de – onder de AVG - nieuwe verplichting voor bepaalde organisaties om een zogeheten Functionaris Gegevensbescherming (FG) aan te stellen. Waar bij deze eerste controles onderzocht werd of overheidsorganen aan deze eis voldeden, bracht de AP in augustus het nieuws naar buiten dat zij daarnaast meer dan honderd ziekenhuizen en zorgverzekeraars heeft gecontroleerd op de naleving van deze zelfde verplichting.
In navolging op deze eerdere controles is door de AP aangekondigd dat zij ook de komende maanden op onderzoek uit zullen gaan, en dat hierbij eveneens de private sector gecontroleerd zal worden. De juiste tijd om daarom nog eens stil te staan bij de vraag: moet mijn organisatie een FG aanstellen? Wij geven het antwoord in deze blog.
Eerdere controles door de AP
De meeste van de overheidsorganen, ziekenhuizen en zorgverzekeraars die deze zomer zijn gecontroleerd doorstonden de controles van de AP – gericht op de aanwezigheid van een FG: slechts 4% van de overheidsorganen en minder dan 2% van de zorgverzekeraars en ziekenhuizen had nog geen FG aangesteld. Wel ontbrak bij een vierde van de zorginstellingen en zorgverzekeraars de publicatie van de contactgegevens op de website. Waar deze organisaties bij een eerste overtreding ‘slechts’ een waarschuwing hebben gekregen van de AP, kunnen er bij blijvend verzuim sancties en boetes volgen.
Hoe zit dat bij overige bedrijven en organisaties? Eén week voor het van toepassing zijn van de AVG berichtte de AP aan het NRC dat er tot op dat moment zo’n 2.300 FG’s waren aangemeld bij de Autoriteit. Dit terwijl werkgeverscentrale VNO-NCW en MKB-Nederland in hetzelfde artikel aangaven in te schatten dat zeker 5.000 organisaties een FG aan zouden moeten stellen (wereldwijd werd dit getal als gevolg van de AVG zelfs op 75.000 geschat door de International Association of Privacy Professionals). Deze aantallen doen vermoeden dat er nog een groot aantal organisaties hard op zoek is naar een FG of dat een deel wellicht nog niet in de gaten heeft dat zij verplicht zijn een FG aan te stellen.
FG verplicht?
Het aanstellen van een FG is niet enkel een verplichting voor overheidsinstanties en zorginstellingen; naast deze partijen dienen alle bedrijven en organisaties een FG aan te stellen die als kernactiviteit betrokkenen stelselmatig observeren op grote schaal of op grote schaal gevoelige persoonsgegevens verwerken, zoals gegevens over begane misdrijven of religieuze achtergrond.
Maar wanneer is iets nou een kernactiviteit van een organisatie? Iets is een kernactiviteit wanneer het de processen betreft die onmisbaar zijn om de doelen van de organisatie te bereiken, zoals het opstellen en verzamelen van medische dossiers een kernactiviteit is voor zorginstellingen. Het uitbetalen van medisch personeel is echter een nevenactiviteit voor deze instellingen, en vloeit slechts voort uit het uitvoeren van haar kernactiviteiten.
Wat het aanstellen van een FG betreft, is het niet van belang of uw bedrijf honderd of maar drie medewerkers heeft: waar het om gaat is de aard van de verwerking van de persoonsgegevens. Een kleine organisatie kan ook personen observeren op grote schaal of persoonsgegevens op grote schaal verwerken. Denk hierbij aan het verwerken van informatie van alle reizigers die gebruik maken van het openbaar vervoer in een bepaalde stad, of het doorlopend registreren van het surfgedrag van een groot aantal bezoekers van uw website door middel van tracking cookies. Ook wanneer het aantal personen dat u stelselmatig observeert niet buitensporig is, maar er wel een grote hoeveelheid gegevens of veel verschillende soorten gegevens worden verwerkt, spreekt men van verwerking op grote schaal.
Met het oog op de aangekondigde controles van de private sector door de AP is het goed om te weten dat organisaties die nog niet zijn voorzien van een FG er ook een extern (en eventueel parttime) kunnen aanstellen. Zo heeft u direct de juiste expertise in huis, en dit zorgt voor een mogelijke kostenbesparing ten opzichte van het vast in dienst nemen van een dergelijke kracht.
Heeft uw organisatie een (parttime) FG nodig? ICTRecht ontzorgt u!
De privacy juristen van adviesbureau ICTRecht kunnen de rol van FG voor uw organisatie invullen. Dit doen wij in-house of op afstand, en altijd tegen een passend tarief. Daarbij garanderen wij u een flexibele samenwerking zonder opzegtermijn. De FG’s van ICTRecht zijn vakkundig en zijn naast expert op het gebied van privacy, ook allround ICT-jurist.
> KLIK HIER ALS U MEER WILT WETEN OVER HET INSCHAKELEN VAN EEN FG VIA ICTRECHT
