andre-biesheuvel

De verplichte aanwijzing van de Functionaris voor Gegevensbescherming

04 januari 2018

André Biesheuvel

Op 13 december 2016 heeft de Artikel 29-werkgroep richtlijnen voor de functionaris voor gegevensbescherming (FG) aanvaard. In dit artikel besteden wij aandacht aan de vraag wanneer organisaties verplicht zijn een FG aan te stellen. Ook daarvoor biedt de Artikel 29-werkgroep interessante handreikingen.

Artikel 37 van de Algemene verordening gegevensbescherming (Avg) verplicht de verwerkingsverantwoordelijke en de verwerker een functionaris voor gegevensbescherming aan te wijzen in elk geval waarin:

* De verwerking wordt verricht door een overheidsinstantie of overheidsorgaan;
* Een verwerkingsverantwoordelijke of de verwerker hoofdzakelijk belast is met verwerkingen die vanwege hun aard, hun omvang en/of doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen; of
* De verwerkingsverantwoordelijke of de verwerker hoofdzakelijk belast is met grootschalige verwerkingen van bijzondere categorieën van gegevens uit hoofde van artikel 9 Avg en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10 Avg.

Wat de laatste categorie betreft valt op dat het Burgerservicenummer (BSN) in de huidige Wet bescherming persoonsgegevens geregeld wordt in de paragraaf die als titel draagt ‘bijzondere persoonsgegevens’. Om die reden zou je het BSN onder de Wbp als bijzonder persoonsgegeven kunnen beschouwen. In artikel 9 van de Avg wordt een nummer dat ter identificatie van een persoon dat bij wet is voorgeschreven – lees het Burgerservicenummer – niet meer als bijzonder persoonsgegeven gekwalificeerd.

Tenzij het evident is, beveelt de Artikel 29-werkgroep (WP 29) verwerkingsverantwoordelijken en verwerkers aan om de interne analyse om wel of niet een FG aan te stellen te documenteren, zodat zij in staat zijn om aan te tonen dat de relevante factoren op een juiste wijze in overweging zijn genomen. De werkgroep verwijst daarbij naar artikel 24 van de Avg; de kernbepaling als het gaat om ‘accountability’. De drie categorieën van artikel 37 Avg licht ik hieronder afzonderlijk toe.

Overheidsinstantie of overheidsorgaan

Deze begrippen moeten worden uitgelegd naar nationaal recht. WP 29 voegt daaraan toe dat het behalve nationale, regionale of lokale overheidsorganen ook instanties betreft die geregardeerd worden door publiek recht. WP 29 verwijst daarbij naar artikel 2, leden 1 en 2, van de Europese richtlijn 2003/98/EC inzake het hergebruik van overheidsinformatie. In deze bepalingen wordt de publiekrechtelijke instelling nader gedefinieerd. Het gaat dan om iedere instelling die:

* Is opgericht met het specifieke doel te voorzien in behoeften van algemeen belang die niet van industriële of commerciële aard zijn;
* Rechtspersoonlijkheid heeft; en
* Waarvan hetzij de activiteiten in hoofdzaak door de staat of zijn territoriale lichamen of andere publiekrechtelijke instellingen worden gefinancierd, hetzij het beheer is onderworpen aan toezicht door deze laatste, hetzij de leden van het bestuursorgaan, het leidinggevend orgaan of het toezichthoudend orgaan voor meer dan de helft door de staat, zijn territoriale lichamen of andere publiekrechtelijke instellingen zijn aangewezen.

In deze gevallen is de aanwijzing van een FG verplicht. Het gaat in deze gevallen niet alleen om de rijksoverheid, provincies, waterschappen en gemeenten maar ook om zorg- en onderwijsinstellingen. Daarnaast kan de verplichte aanwijzing door de nadere definitie van publiekrechtelijke instelling (de Autoriteit Persoonsgegevens spreekt over publieke organisaties) ook gelden voor tal van organisaties die op afstand van de overheid opereren maar door de financiering, bestuursvorm of vorm van toezicht direct afhankelijk zijn van de overheid.

Er blijft niettemin een grijs gebied. Zo hoeft een publieke taak niet alleen door publieke instellingen te worden uitgevoerd. Ook andere – private rechtspersonen kunnen publieke taken uitvoeren. Denk aan public transport services, water en energiebedrijven, wegeninfrastructuur, onderwijs, publieke omroepen, volkshuisvesting of disciplinaire instanties voor gereguleerde beroepen. Hoewel er geen wettelijke verplichting is voor private organisaties die zo’n publieke taak uitvoeren of wettelijke bevoegdheden hebben gekregen, beveelt WP 29 wel aan om een FG aan te wijzen.

Kernactiviteiten

In artikel 37, lid 1, sub b en c, Avg worden de woorden ‘hoofdzakelijk belast met’ gebruikt. In overweging 97 van de Avg wordt genoemd dat het in de particuliere sector dan moet gaan om kernactiviteiten die betrekking hebben op diens hoofdactiviteiten en niet om de verwerking van persoonsgegevens als nevenactiviteit. WB 29 geeft daarbij het voorbeeld van een ziekenhuis. Een ziekenhuis kan geen effectieve en veilige zorg verlenen zonder gezondheidsgegevens zoals patiëntendossiers te verwerken. Daarom moet het verwerken van deze gegevens als kernactiviteiten worden beschouwd en is een ziekenhuis op grond van artikel 37, lid 1, sub c, Avg verplicht om een FG aan te wijzen.

Grootschalige verwerking

Overweging 91 van de Avg biedt over het in artikel 37, lid 1, sub c, Avg gebruikte begrip grootschalige verwerking enige helderheid. Deze overweging spreekt namelijk van grootschalige verwerkingen die bedoeld zijn voor de verwerking van een aanzienlijke hoeveelheid persoonsgegevens op regionaal, nationaal of supranationaal niveau, waarvan een groot aantal betrokkenen gevolgen zouden kunnen ondervinden en die bijvoorbeeld vanwege hun gevoelige aard een hoog risico met zich kunnen brengen. De verwerking van persoonsgegevens mag niet als een grootschalige verwerking worden beschouwd als het gaat om de verwerking van persoonsgegevens van patiënten of cliënten door een individuele arts, een andere zorgprofessional of door een advocaat.

WP 29 beveelt aan de volgende factoren in acht te nemen om te bepalen of er sprake is van een grootschalige verwerking:

* Het aantal betrokkenen, in absolute aantallen of als percentages van een relevante populatie;
* De omvang van de data en of de schaal waarop de verschillende data worden verwerkt;
* De duur van de verwerkingsactiviteiten;
* De geografische reikwijdte van de verwerkingsactiviteiten.

Voorbeelden van grootschalige verwerking die WP 29 geeft zijn:

* Verwerking van patiëntgegevens door een ziekenhuis;
* Verwerking van reisgegevens van reizigers die met een openbaar vervoerder reizen (ov-chipkaart);
* Verwerking van real time geografische data van klanten van een internationale fastfoodketen voor statistische doeleinden door een verwerker die hierin is gespecialiseerd;
* Verwerking van klantdata in de gewone gang van zaken door een verzekeringsbedrijf of bank;
* Verwerking van persoonsgegevens voor ‘behavioural advertising’ door een zoekmachine;
* Verwerking van verkeersgegevens door telefonie- of internet serviceproviders.

Regelmatige en stelselmatige monitoring

Het in artikel 37, lid 1, sub b, Avg gebruikte begrip regelmatige en stelselmatige monitoring wordt gedefinieerd in de Avg. Aansluiting kan worden gevonden bij het ‘monitoren van gedrag van betrokkenen’ zoals genoemd in overweging 24. Deze betreft in ieder geval alle vormen van ‘tracking and profiling’ op het internet, inclusief die voor doeleinden van ‘behavioural advertising’. Regelmatige en stelselmatige monitoring is echter volgens WP 29 niet beperkt tot de online omgeving. De werkgroep interpreteert regelmatig als voortdurend of met bepaalde intervallen gedurende een bepaalde periode; zich herhalend op vaste tijdstippen; constant of periodiek plaatsvindend. De werkgroep interpreteert systematisch als ‘plaatsvindend volgens een systeem’, vooraf geregeld, georganiseerd of volgens een bepaalde methode; vindt plaats als onderdeel van een algemeen plan voor dataverzameling; wordt uitgevoerd als onderdeel van een strategie.

De voorbeelden die de werkgroep noemt zijn die van het operationeel houden van een telecommunicatienetwerk, het verlenen van telecommunicatiediensten, e-mail retargeting, profilering en scoring voor doeleinden van risk assessment (bijvoorbeeld voor doeleinden van credit scoring, vaststellen van verzekeringspremies, fraudepreventie, detectie van witwassen); traceren van locaties, bijvoorbeeld met behulp van apps; loyalty programma’s; behavioural advertising; monitoring van welzijn, fitness en gezondheidsgegevens via draagbare devices; closed circuit televisie; connected devices zoals slimme meters, slimme auto’s, home automation, etc…

Speciale categorieën strafrechtelijke veroordelingen en strafbare feiten

Hier merkt WP 29 op dat daar waar in artikel 37, lid 1, sub c, Avg het woordje ‘en’ staat moet worden gelezen ‘of’. De beide criteria die in deze bepaling genoemd staan hoeven namelijk niet gelijktijdig van toepassing te zijn.

FG voor de verwerker

Artikel 37 Avg is zowel op de verwerkingsverantwoordelijke van toepassing als op de verwerker. Daar waar de verwerkingsverantwoordelijke verplicht is een FG aan te stellen, hoeft dat niet altijd ook te gelden voor de verwerker en vice versa. Desondanks beveelt de werkgroep wel aan om ook dan een FG aan te stellen. De werkgroep beveelt aan dat zo’n FG niet alleen toezicht houdt op de verwerkingen die de verwerker uitvoert ten behoeve van de verwerkingsverantwoordelijke, maar ook toezicht houdt op de verwerkingen waarvoor de verwerker zelf verwerkingsverantwoordelijke is.

Tot slot

WP 29 heeft een uitwerking gegeven van de criteria van artikel 37 Avg op grond waarvan een verwerkingsverantwoordelijke of een verwerker verplicht is een FG aan te wijzen. Deze uitwerking moet worden beschouwd als richtinggevend. Uiteindelijk is het de rechter die het laatste woord heeft over de uitleg van artikel 37 Avg. Welke beslissing een verwerkingsverantwoordelijke of verwerker ook neemt bij de vraag of een FG wordt aangesteld, in gedachten moet worden gehouden dat deze beslissing altijd gedocumenteerd moet worden, inclusief de juridische onderbouwing daarvan. En natuurlijk geldt ook hier dat het aanwijzen van een FG niet altijd moet maar wel altijd mag, ook als er geen aanleiding is te veronderstellen dat er sprake is van een wettelijke verplichting.

De auteur André Biesheuvel is Managing Partner van Duthler Associates en zal spreken op het RiskCongres Lokaal Bestuur dd 17 januari 2018 in het Provinciehuis Utrecht  • Bakir Lashkari

    Er zijn aantal cruciale vragen die nu al zullen en kunnen worden gesteld:
    1. Kunnen de banken voor 25 mei as compliant zijn met hun legacy systemen voor de GDPR/Avg, ja of nee? Zo niet, wat betekent dit voor het imago van de banken, behalve de boetes die zeer waarschijnlijk door de toezichthouders kunnen worden opgelegd?
    2. Wat betekent dat als de banken hun verplichtingen gaan overdragen aan de Big 4 met de resultaten verplichtingen? Mag dat en kan dat? Wellicht kan alles voor poen!
    3. Wat gaan de banken doen met PSD2 dat de toegang kan bieden voor de FinTech bedrijven om gebruik te maken van de klantengegevens (banken) en wel in relatie tot GDPR/Avg, die nog bij lange na niet in orde is?

Geef uw mening

Your email address will not be published. Required fields are marked *