"Voor futureproof ondernemen in flex"
SLUIT MENU

Is een Functionaris voor de Gegevensbescherming verplicht?

Jeroen van Puijenbroek
Jeroen van Puijenbroek

Is een Functionaris voor de Gegevensbescherming nu wel of niet verplicht?

Column door Jeroen van Puijenbroek, bestuurslid Stichting AVG Garant

Onder de Algemene verordening gegevensbescherming (AVG) is de aanstelling van een Functionaris voor de Gegevensbescherming (hierna afgekort tot FG, in de praktijk wordt ook wel de Engels afkorting DPO gebruikt) in een aantal gevallen verplicht. Zo’n FG moet organisaties enerzijds informeren en adviseren over de AVG en anderzijds toezien op de naleving daarvan.

De verplichting tot het aanstellen van een FG bestaat in drie gevallen. In de eerste plaats voor overheidsinstanties of overheidsorganen. In de tweede plaats is het verplicht voor bedrijven die structureel èn op grote schaal betrokkenen observeren. Denk bijvoorbeeld aan cameratoezicht of monitoring. In de derde plaats geldt deze verplichting voor bedrijven die op grote schaal bijzondere of strafrechtelijke persoonsgegevens verwerken. Denk aan ziekenhuizen die veel gezondheidsgegevens verwerken. Maar hoe zit dit nu in de arbeidsbemiddelingssector?

Het eerste geval, verplicht voor overheidsinstantie, is voor de arbeidsbemiddelingssector niet relevant. Voor de gevallen twee en drie kun je de verplichting tot een FG opdelen in twee criteria waaraan moet worden voldoen. Ten eerste is dit of de bovengenoemde typen van gegevensverwerkingen een kernactiviteit zijn en ten tweede of de verwerking grootschalig plaats vindt.

Is de verwerking een kernactiviteit?
Het is van belang dat de verwerking, die betrekking heeft op de regelmatige en stelselmatige observatie of die betrekking heeft op bijzondere of strafrechtelijke persoonsgegevens, een kernactiviteit is. Is dat niet het geval dan is een FG niet vereist. Als een uitzendbureau bijzondere persoonsgegevens verwerkt (bijvoorbeeld ziekmeldingen) in het kader van de HR-administratie, dan doet het dit niet als kernactiviteit maar slechts als onderdeel van de werkzaamheden. Dus zou je zeggen ‘Geen FG’.

Maar let op: de toezichthouders hebben in een richtsnoer over de FG opgenomen dat als de verwerking onlosmakelijk verbonden is met de eigenlijke werkzaamheden, zij dit ook beschouwen als kernactiviteit. Voorbeeld: het verwerken van bijzondere persoonsgegevens is een kernactiviteit van ziekenhuizen omdat dit onlosmakelijk verbonden is met de kernactiviteit van een ziekenhuis, het beter maken van patiënten. Voor uitzendondernemingen zou je kunnen beargumenteren dat de verwerking van bijzondere persoonsgegevens (ziekmeldingen) onlosmakelijk verbonden is met hun kernactiviteit het uitzenden van medewerkers. In dat geval zou je zeggen ‘Toch een FG(?)’.

Voor de arbeidsbemiddelingssector is het wel/niet voldoen aan het criterium ‘kernactiviteit’ niet zo evident en bestaan er verschillende opinies over. Mijn eigen opinie is dat een uitzendbureau hieraan niet voldoet; want dit heeft als doel te bemiddelen tussen uitzendkracht en opdrachtgever (het uitzenden) en verwerkt hiertoe niet hoofdzakelijk gezondheidsgegevens.

Grootschalig?
Het tweede criterium is het begrip grootschalig. Hiervan zegt de toezichthouder dat je hierbij vooral moet kijken naar de hoeveelheid betrokkenen en gegevens en de duur van de verwerkingen. Hier kun je natuurlijk ook niet veel mee. Daarom is het goed dat de Autoriteit Persoonsgegevens het begrip grootschalig nader heeft geduid voor de gezondheidszorg: ziekenhuizen en huisartsenposten zijn altijd grootschalig, maar voor andere zorginstellingen geldt een grens van 10.000 cliënten.

Omdat de dossiers van uitzendkrachten minder gevoelig zijn dan dossiers van patiënten kun je zeggen dat in het geval van een uitzendbureau de grens van grootschaligheid hetzelfde of hoger moet liggen. Dit zou betekenen dat alleen de allergrootste uitzendbureaus aan dit criterium voldoen. De rest niet. Ook hoeven ze dan niet vast te leggen waarom ze geen FG hebben. De toezichthouder heeft namelijk gezegd dat als dit overduidelijk is, dit niet hoeft.

Alleen de allergrootste uitzendbureaus zouden mogelijk aan beide criteria voldoen (afhankelijk van het gekozen standpunt ten aanzien van de kernactiviteit) en dus verplicht een FG moeten aanstellen.

Kan een FG toch handig zijn?
Jawel. Grootschaligheid is namelijk maar één van de risicofactoren. Het genootschap van FG’s heeft een beslismodel gemaakt dat naar meer risicofactoren kijkt. Onder andere naar de ambitie van het bedrijf, de bedrijfscultuur, de hoeveelheid systemen en koppelingen en de kennis van medewerkers. Een gemiddeld uitzendbureau werkt met veel systemen, is informeel georganiseerd en heeft een hoog verloop. Factoren om toch maar te kiezen voor die FG! Deze FG houdt het bedrijf dan bij de les. Bovendien: op grond van de AVG moet je aantoonbaar voldoen. Dit kan door het toezien op de naleving door de FG worden gedemonstreerd.

Een FG hoeft niet een full-time functie te zijn. Je kunt het ook combineren met andere functies zolang zijn/haar onafhankelijke toezichtrol geborgd is. Een FG hoeft niet in dienst te zijn, je kunt er ook een inhuren (‘DPO as a service’). De FG moet wel aan wettelijke eisen ten aanzien van kennis en onafhankelijkheid voldoen.
Tenslotte: met een FG geef je aan betrokkenen en klanten ook een duidelijk signaal dat je privacy serieus neemt. Misschien toch een onderwerp om nog eens over na te denken.

Jeroen van Puijenbroek, bestuurslid Stichting AVG Garant

Zie ook
Na een jaar AVG, hoe zit het nu met die torenhoge boetes?
Stichting AVG Garant: privacy normeren

Jeroen van Puijenbroek is bestuurslid van de Stichting AVG Garant en directeur van 2Privacy. Daarnaast levert hij FG as a service.