Skip to main content
Verplichte functionaris voor gegevensbescherming vanaf mei 2018
Geen onderdeel van een categorie

Verplichte functionaris voor gegevensbescherming vanaf mei 2018

By februari 12, 2018maart 2nd, 2021No Comments

Vanaf 25 mei 2018 zal de Algemene Verordening Gegevensbescherming (AVG) gaan gelden in de EU en dus ook in Nederland. Onder de AVG zijn bepaalde (verwerkings)verantwoordelijken en verwerkers verplicht een functionaris voor de gegevensbescherming aan te wijzen.

 Functionaris voor de gegevensbescherming
Een functionaris voor de gegevensbescherming (FG) houdt binnen een organisatie toezicht op de toepassing en naleving van de privacy wetgeving. Het aanwijzen van een functionaris voor de gegevensbescherming is vanaf 25 mei 2018 verplicht voor overheidsinstanties en –organen (ongeacht de door hen verwerkte gegevens) en voor andere organisaties die (als kerntaak) stelselmatig en op grote schaal personen observeren of op grote schaal bepaalde categorieën persoonsgegevens verwerken. Meer specifiek is het aanwijzen van een functionaris voor gegevensbescherming verplicht in de volgende gevallen:

  1. in het geval dat de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan;
  2. in het geval dat de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met verwerkingen die regelmatige en stelselmatige observatie van betrokkenen op grote schaal vergen; of
  3. in het geval dat de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met grootschalige verwerking van bijzondere categorieën van persoonsgegevens of gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10 AVG.

Een concern of samenwerkingsverband mag ook een gezamenlijke functionaris voor de gegevensbescherming aanwijzen. Voorwaarde is wel dat deze FG vanuit elke vestiging makkelijk te contacteren is.

Vrijwillige aanstelling
Ook indien de AVG het aanstellen van een functionaris voor de gegevensbescherming niet verplicht stelt, kan het volgens de Autoriteit Persoonsgegevens voor sommige organisaties toch zinvol zijn om vrijwillig een FG aan te wijzen. Op het moment dat uw organisatie vrijwillig een functionaris gegevensbescherming aanwijst, gelden voor zijn aanwijzing, positie en taken dezelfde voorwaarden van artikel 37 tot en met 39 AVG, die zouden gelden indien de organisatie verplicht zou zijn een FG aan te wijzen.

Het is – indien er voor uw organisatie geen wettelijke verplichting bestaat tot het aanstellen van een functionaris gegevensbescherming – ook mogelijk om aan een werknemer of extern adviseur werkzaamheden op het gebied van bescherming persoonsgegevens op te dragen. Deze werknemer of externe adviseur treedt dan niet op als FG. Let erop dat het in dit geval van belang is dat binnen de organisatie duidelijk wordt gemaakt dat de betreffende persoon niet als zodanig optreedt.

Kerntaken
In artikel 37 onder b en c AVG wordt verwezen naar de ‘kerntaken van de verantwoordelijke of de verwerker’. Volgens de Autoriteit Persoonsgegevens zijn kerntaken de belangrijkste handelingen die nodig zijn om het doel van de verantwoordelijke of de verwerker te bereiken. De Autoriteit Persoonsgegevens benadrukt dat dit niet betekent dat activiteiten waarbij de verwerking van persoonsgegevens een onlosmakelijk onderdeel van de werkzaamheden van een verantwoordelijke of verwerker zijn, geen kerntaken zijn. Zo dient bijvoorbeeld het verwerken van medische gegevens als een kerntaak van een ziekenhuis te worden gezien. Ziekenhuizen dienen derhalve steeds een functionaris voor de gegevensbescherming aan te wijzen.

Op grote schaal
Het aanwijzen van een FG is – zoals reeds omschreven – verplicht indien een organisatie op grote schaal persoonsgegevens verwerkt. De Artikel 29-werkgroep van de Europese privacytoezichthouders (WP29) raadt aan om bij beantwoording van de vraag of sprake is van grootschalige verwerking van persoonsgegevens de volgende factoren mee te nemen:

  • het aantal betrokkenen – in specifieke cijfers of als percentage van de betreffende bevolking;
  • de hoeveelheid gegevens en/of de hoeveelheid verschillende gegevens die wordt verwerkt;
  • de duur of permanentie van de gegevensverwerking;
  • de geografische reikwijdte van de verwerking.

De Autoriteit Persoonsgegevens geeft als voorbeelden van verwerking op grote schaal:

  • verwerking van patiëntgegevens als onderdeel van de gebruikelijke werkzaamheden van een ziekenhuis;
  • verwerking van reisinformatie van mensen die met het openbaar vervoer in een bepaalde stad reizen;
  • het voor statistische doeleinden verwerken van actuele locatiegegevens van klanten van een internationale fastfoodketen, door een verwerking die in deze diensten gespecialiseerd is;
  • verwerking van klantgegevens als onderdeel van de gebruikelijke werkzaamheden van een verzekeringsmaatschappij of bank;
  • verwerking van persoonsgegevens door een zoekmachine voor het tonen van advertenties op basis van internetgedrag;
  • verwerking van gegevens (inhoud, verkeer, locatie) door telefoon- of internetproviders.

Ruime interpretatie
De WP29 interpreteert het begrip ‘op grote schaal’ ruim. Volgens de WP29 is van grootschaligheid sprake indien persoonsgegevens op regionaal, nationaal en supranationaal niveau worden verwerkt. Door de ruime interpretatie die de WP29 geeft aan de AVG bestaat het risico dat meer ondernemingen dan aanvankelijk bedoeld, een functionaris voor de gegevensbescherming moeten aanstellen.

Indien u vragen heeft over de AVG en de gewijzigde verplichtingen waaraan u vanaf 25 mei 2018 aan moet voldoen, neem dan contact op met ons team Privacy.

Februari 2018

Privacy instellingen

Bepaal welke cookies u wilt toestaan.

U kunt deze instellingen op elk gewenst moment wijzigen. Dit kan er echter toe leiden dat sommige functies niet langer beschikbaar zijn. Raadpleeg de helpfunctie van uw browser voor informatie over het verwijderen van cookies. Voor meer informatie omtrent onze cookies, klik hier.

Onderstaand kunt u de verschillende soorten cookies in- en uitschakelen:

 

Deze website zal

  • Essentieel: onthoud uw instelling voor cookietoestemming
  • Essentieel: sessiecookies toestaan
  • Essentieel: verzamel informatie die u invoert in een nieuwsbrief met contactformulieren en andere formulieren op alle pagina's
  • Essentieel: onthoud de taalversie die je hebt geselecteerd

Deze website zal niet

  • Onthoud uw inloggegevens
  • Functionaliteit: onthoud sociale media-instellingen
  • Functionaliteit: onthoud geselecteerde regio en land
  • Analyse: bijhouden van uw bezochte pagina's en de genomen interactie
  • Analyses: houd uw locatie en regio bij op basis van uw IP-nummer
  • Analytics: houd de tijd bij die op elke pagina wordt doorgebracht
  • Analytics: verhoog de datakwaliteit van de statistische functies
  • Adverteren: verzamel persoonlijk identificeerbare informatie zoals naam en locatie

Deze website zal

  • Uw instelling voor cookietoestemming onthouden

Deze website zal niet

  • Sessiecookies toestaan
  • Het IP-adres onthouden (waaronder locatie en regio)
  • Technische kenmerken opslaan (zoals browser)
  • De zoekwoorden opslaan die u gebruikt
  • Het platformtype opslaan dat u gebruikt
  • Opslaan via welke pagina u op onze site bent gekomen
  • Individuele beveiligingsinstellingen (o.a. anti-spam) toepassen
  • De bezochte pagina’s en genomen interactie opslaan
  • Geselecteerde taalversies onthouden
  • Social media-instellingen onthouden
  • De tijd die op een specifieke pagina wordt doorgebracht onthouden
  • Persoonlijke, identificeerbare informatie verzamelen (zoals naam, locatie etc.)
  • De datakwaliteit van statistische functies verhogen

Deze website zal

  • Uw instelling voor cookietoestemming onthouden
  • Sessiecookies toestaan
  • Het IP-adres onthouden (waaronder locatie en regio)
  • Technische kenmerken opslaan (zoals browser)
  • De zoekwoorden opslaan die u gebruikt
  • Het platformtype opslaan dat u gebruikt
  • Opslaan via welke pagina u op onze site bent gekomen

Deze website zal niet

  • Individuele beveiligingsinstellingen (o.a. anti-spam) toepassen
  • De bezochte pagina’s en genomen interactie opslaan
  • Geselecteerde taalversies onthouden
  • Social media-instellingen onthouden
  • De tijd die op een specifieke pagina wordt doorgebracht onthouden
  • Persoonlijke, identificeerbare informatie verzamelen (zoals naam, locatie etc.)
  • De datakwaliteit van statistische functies verhogen

Deze website zal

  • Uw instelling voor cookietoestemming onthouden
  • Sessiecookies toestaan
  • Het IP-adres onthouden (waaronder locatie en regio)
  • Technische kenmerken opslaan (zoals browser)
  • De zoekwoorden opslaan die u gebruikt
  • Het platformtype opslaan dat u gebruikt
  • Opslaan via welke pagina u op onze site bent gekomen
  • Individuele beveiligingsinstellingen (o.a. anti-spam) toepassen
  • De bezochte pagina’s en genomen interactie opslaan
  • Geselecteerde taalversies onthouden
  • Social media-instellingen onthouden
  • De tijd die op een specifieke pagina wordt doorgebracht onthouden
  • Persoonlijke, identificeerbare informatie verzamelen (zoals naam, locatie etc.)
  • De datakwaliteit van statistische functies verhogen

Deze website zal niet

Opslaan en sluiten