De verplichte aanwijzing van de functionaris voor gegevensbescherming

Op 13 december 2016 heeft de Artikel 29-werkgroep richtlijnen voor de functionaris voor gegevensbescherming (FG) aanvaard. In dit artikel besteden wij aandacht aan de vraag wanneer organisaties verplicht zijn een FG aan te stellen. Ook daarvoor biedt de Artikel 29-werkgroep interessante handreikingen. - Risk Compliance

Artikel 37 van de Algemene verordening gegevensbescherming (Avg) verplicht de verwerkingsverantwoordelijke en de verwerker een functionaris voor gegevensbescherming aan te wijzen in elk geval waarin:

• De verwerking wordt verricht door een overheidsinstantie of overheidsorgaan;
  
• Een verwerkingsverantwoordelijke of de verwerker hoofdzakelijk belast is met verwerkingen die vanwege hun aard, hun omvang en/of doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen; of
  
• De verwerkingsverantwoordelijke of de verwerker hoofdzakelijk belast is met grootschalige verwerkingen van bijzondere categorieën van gegevens uit hoofde van artikel 9 Avg en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10 Avg.
  

Wat de laatste categorie betreft valt op dat het Burgerservicenummer (BSN) in de huidige Wet bescherming persoonsgegevens geregeld wordt in de paragraaf die als titel draagt ‘bijzondere persoonsgegevens’. Om die reden zou je het BSN onder de Wbp als bijzonder persoonsgegeven kunnen beschouwen. In artikel 9 van de Avg wordt een nummer dat ter identificatie van een persoon dat bij wet is voorgeschreven – lees het Burgerservicenummer – niet meer als bijzonder persoonsgegeven gekwalificeerd.

Tenzij het evident is, beveelt de Artikel 29-werkgroep (WP 29) verwerkingsverantwoordelijken en verwerkers aan om de interne analyse om wel of niet een FG aan te stellen te documenteren, zodat zij in staat zijn om aan te tonen dat de relevante factoren op een juiste wijze in overweging zijn genomen. De werkgroep verwijst daarbij naar artikel 24 van de Avg; de kernbepaling als het gaat om ‘accountability’. De drie categorieën van artikel 37 Avg licht ik hieronder afzonderlijk toe.

Overheidsinstantie of overheidsorgaan

Deze begrippen moeten worden uitgelegd naar nationaal recht. WP 29 voegt daaraan toe dat het behalve nationale, regionale of lokale overheidsorganen ook instanties betreft die geregardeerd worden door publiek recht. WP 29 verwijst daarbij naar artikel 2, leden 1 en 2, van de Europese richtlijn 2003/98/EC inzake het hergebruik van overheidsinformatie. In deze bepalingen wordt de publiekrechtelijke instelling nader gedefinieerd. Het gaat dan om iedere instelling die:

• Is opgericht met het specifieke doel te voorzien in behoeften van algemeen belang die niet van industriële of commerciële aard zijn;
  
• Rechtspersoonlijkheid heeft; en
  
• Waarvan hetzij de activiteiten in hoofdzaak door de staat of zijn territoriale lichamen of andere publiekrechtelijke instellingen worden gefinancierd, hetzij het beheer is onderworpen aan toezicht door deze laatste, hetzij de leden van het bestuursorgaan, het leidinggevend orgaan of het toezichthoudend orgaan voor meer dan de helft door de staat, zijn territoriale lichamen of andere publiekrechtelijke instellingen zijn aangewezen.
  

In deze gevallen is de aanwijzing van een FG verplicht. Het gaat in deze gevallen niet alleen om de rijksoverheid, provincies, waterschappen en gemeenten maar ook om zorg- en onderwijsinstellingen. Daarnaast kan de verplichte aanwijzing door de nadere definitie van publiekrechtelijke instelling (de Autoriteit Persoonsgegevens spreekt over publieke organisaties) ook gelden voor tal van organisaties die op afstand van de overheid opereren maar door de financiering, bestuursvorm of vorm van toezicht direct afhankelijk zijn van de overheid.

Er blijft niettemin een grijs gebied. Zo hoeft een publieke taak niet alleen door publieke instellingen te worden uitgevoerd. Ook andere – private rechtspersonen kunnen publieke taken uitvoeren. Denk aan public transport services, water en energiebedrijven, wegeninfrastructuur, onderwijs, publieke omroepen, volkshuisvesting of disciplinaire instanties voor gereguleerde beroepen. Hoewel er geen wettelijke verplichting is voor private organisaties die zo’n publieke taak uitvoeren of wettelijke bevoegdheden hebben gekregen, beveelt WP 29 wel aan om een FG aan te wijzen.

Kernactiviteiten

In artikel 37, lid 1, sub b en c, Avg worden de woorden ‘hoofdzakelijk belast met’ gebruikt. In overweging 97 van de Avg wordt genoemd dat het in de particuliere sector dan moet gaan om kernactiviteiten die betrekking hebben op diens hoofdactiviteiten en niet om de verwerking van persoonsgegevens als nevenactiviteit. WB 29 geeft daarbij het voorbeeld van een ziekenhuis. Een ziekenhuis kan geen effectieve en veilige zorg verlenen zonder gezondheidsgegevens zoals patiëntendossiers te verwerken. Daarom moet het verwerken van deze gegevens als kernactiviteiten worden beschouwd en is een ziekenhuis op grond van artikel 37, lid 1, sub c, Avg verplicht om een FG aan te wijzen. ...

Lees het volledige artikel op www.riskcompliance.nl.