Dé grote hamvraag van dit moment: moet mijn organisatie wél of géén Functionaris voor Gegevensbescherming (FG) aanstellen? Vanuit het juridisch kader lijkt het antwoord eenvoudig. In de praktijk blijkt dit toch nog vaak vragen op te roepen. Met enige regelmaat steekt ook het gerucht, dat een FG verplicht is bij 250 medewerkers, de kop op. Tijd om wat licht in de duisternis te brengen!
De Algemene Verordening Gegevensbescherming (AVG) verplicht organisaties in drie situaties een FG aan te stellen. Kort samengevat moet een organisatie een FG aanstellen als:
1) het een overheidsorganisatie of -orgaan is;
2) de organisatie belast is met verwerkingen van gegevens die regelmatige en systematische observatie van betrokkenen vereisen of;
3) het verwerken van bijzondere persoonsgegevens de kernactiviteit van de organisatie is.
In de praktijk hoor ik vaak nog een vierde situatie; de FG is verplicht bij 250 medewerkers of meer.
Dit klopt niet. De AVG kent geen cijfermatige criteria voor het aanstellen van een FG. Het aantal medewerkers van een organisatie staat dus los van de eventuele verplichting een FG aan te stellen. Dit is dus een hardnekkig gerucht. Dit gerucht is waarschijnlijk ontstaan omdat er in de conceptversies van de AVG wél een getalsmatig criterium stond.
De FG is een onafhankelijk en deskundig persoon binnen (intern of extern) de organisatie met als taak toezicht houden op de toepassing en naleving van privacywetgeving. De AVG stelt een aantal eisen aan de positie, taken en verantwoordelijkheden van de FG. Organisaties in de welzijn & maatschappelijke dienstverlening doen er dan ook verstandig aan om de volgende vraag te beantwoorden: moet de organisatie een FG aanstellen?
Voor organisaties in de welzijn & maatschappelijke dienstverlening geldt eigenlijk uitsluitend situatie 3. Van de eerste twee situaties is in deze sector geen sprake. De centrale vraag die vervolgens beantwoord moet worden is dan ook: verwerkt mijn organisatie op grote schaal bijzondere persoonsgegevens en betreft dit de een kernactiviteit?
Organisaties in de welzijn & maatschappelijke dienstverlening verwerken vaak medische gegevens, welke gezien moeten worden als bijzondere persoonsgegevens. Denk aan de registratie van psychosociale problemen en stoornissen, gedragsproblemen, opvoedingsproblemen, somatische, verstandelijke, lichamelijke of zintuiglijke beperking enz, in het dossier. Betreft het verwerken van deze ‘bijzondere persoonsgegevens’ dan ook de ‘kerntaak’ van de organisatie? De kerntaak van bijvoorbeeld een ziekenhuis is het bieden van gezondheidszorg. Een ziekenhuis kan namelijk uitsluitend veilige en effectieve gezondheidszorg bieden als zij medische gegevens, zoals de medische dossiers van patiënten, verwerkt. Daarom zal het verwerken van deze bijzondere persoonsgegevens gezien moeten worden als één van de kerntaken van een ziekenhuis. Dit standpunt kan vaak ook worden toegepast op de welzijn & maatschappelijke dienstverlening. Uiteraard hangt dit van de specifieke situatie af. Deze dienstverlening is, zonder de verwerking van medische gegevens, immers ondenkbaar.
Nu blijft alleen nog de vraag over of er binnen de organisatie sprake is van ‘grootschalige verwerking’. Helaas geeft de AVG geen exacte cijfers over wat er onder ‘grootschalig’ wordt verstaan. Zijn dat de gegevens van 100 cliënten of van 10.000? Om te bepalen of verwerking op grote schaal plaatsvindt zijn factoren als het aantal betrokkenen, de hoeveelheid gegevens, de duur van de verwerking en de geografische reikwijdte, van belang.
Of je als organisatie in de welzijn & maatschappelijke dienstverlening een FG moet aanstellen hangt dus vooral af van de vraag of er sprake is van grootschalige verwerking. Hoewel de kans er een aanzienlijk is dat je als organisatie in de welzijn & maatschappelijke dienstverlening voldoet aan de criteria uit de AVG, is er ook een groot grijs gebied. Mocht je als organisatie besloten hebben dat een FG voor de organisatie niet verplicht is, zorg dan dat je wel kunt verantwoorden waarom je daarvoor hebt gekozen. De aanbeveling luidt dan wel om iemand binnen de organisatie verantwoordelijk te maken voor privacy. Het profiel van deze rol kan dan erg lijken op die van de verplichte FG, maar je hebt zelf meer invloed in de daadwerkelijke invulling van de rol. Zorg dat je kunt verantwoorden waarom je in die situatie kiest voor juist wel of geen formele FG rol.
Overigens biedt de AVG onder voorwaarden ook de ruimte om één FG te benoemen die voor meerdere zorgaanbieders als de functionaris optreedt. Dit is interessant omdat daarmee een aanzienlijke kostenbesparing mogelijk is.