FG: Waarom de Apk-garagist wel en de woningcorporatie niet? | Audittrail
Waarom de Apk-garagist wel en de woningcorporatie niet?
19 september 2019 
in Privacy

Waarom de Apk-garagist wel en de woningcorporatie niet?

De Functionaris Gegevensbescherming is verplicht voor bepaalde organisaties. Deze verplichting komt vanuit de Algemene verordening gegevensbescherming (AVG), maar hangt samen met nationale wetgeving. In dit artikel scheppen we duidelijkheid over de vraag waarom een FG bijvoorbeeld wel verplicht is voor een Apk-garagist, maar niet voor een woningcorporatie.

AVG

Sinds de AVG van toepassing is, is het voor overheidsorganen en overheidsinstanties verplicht een FG aan te stellen. Artikel 37 van de AVG benoemt specifiek overheden, publieke organisaties, organisaties die regelmatig en stelselmatig observaties uitvoeren en organisaties die op grote schaal bijzondere persoonsgegevens verwerken. Daarbij wordt aangegeven dat de nationale wetgeving gevolgd dient te worden om te bepalen of deze voorwaarden van toepassing zijn en de FG dus verplicht is.

Algemene wet bestuursrecht

In Nederland hebben we de Algemene wet bestuursrecht (AWB) om te helpen bepalen of iets een bestuursorgaan is. Naast de voor de hand liggende organen wordt in die wet ook ‘een ander persoon of college, met enig openbaar gezag bekleed’ genoemd als bestuursorgaan. Het klassieke voorbeeld hiervan is een autogarage die op grond van de Wegenverkeerswet Apk-keuringen uitvoert.

Combinatie

Als we met dit voorbeeld in ons achterhoofd weer terug gaan naar de privacywetgeving, zien we iets interessants. De AVG stelt de verwerkingsverantwoordelijke verantwoordelijk voor het (naar behoren) betrekken van de FG bij ‘aangelegenheden die verband houden met de bescherming van persoonsgegevens’. Als we de AVG met de nationale wetgeving (AWB) combineren moet dus elke Apk-garagist een FG aanstellen. Naast de nationale wetgeving loopt er in dit kader nog een ander spoor. Er zijn namelijk ook particuliere organisaties die overheidstaken verrichten of publiek gezag uitoefenen, maar niet kwalificeren als bestuursorgaan zoals bedoeld in de AWB. De Autoriteit Persoonsgegevens (AP) geeft aan dat een FG voor dergelijke organisatie niet verplicht is, maar wel geldt als “good practice”. Dit omdat de betrokkenen zich in vrijwel dezelfde situatie bevinden bij dit soort organisaties, als ten opzichte van een overheidsorganisatie. Een voorbeeld hiervan is de woningcorporatie, hiervoor is een FG in beginsel dus niet verplicht.

Grootschalige gegevensverwerking

Wat is grootschalig, en vanaf welke hoeveelheid is de verwerking van bijzondere persoonsgegevens grootschalig? Grootschaligheid hangt onder meer af van het aantal betrokkenen, de hoeveelheid gegevens, de duur van de gegevensverwerking en de geografische reikwijdte. Voor huisartsen en medisch specialistische zorg wordt de gegevensverwerking grootschalig vanaf 10.000 patiënten. Ziekenhuizen, apotheken en huisartsenposten moeten altijd een FG aanstellen, volgens de AP verwerken zij altijd op grootschalige wijze bijzondere persoonsgegevens. 

In 2018 heeft de AP 45 banken en 93 verzekeraars (geen zorgverzekeraars) gecontroleerd op de FG plicht. Dit is een plicht omdat zij op grote schaal persoonsgegevens van klanten observeren en/of op grote schaal bijzondere persoonsgegevens verwerken. Omdat expliciet benoemd is dat het geen zorgverzekeraars betreft, levert dit interessante informatie op. Anders dan in de medische wereld zullen deze organisaties immers niet overlopen van (bijzondere) medische persoonsgegevens, en toch bestaat er een FG plicht. 

Op het FG-vraagstuk ontstaat dus een vreemde balans. Aan de ene kant zien we het ‘openbaar gezag’, wat bepaalt dat de APK-garage een bestuursorgaan is dat verplicht een FG aan dient te stellen. Aan de andere kant staat het ‘publieke gezag’ dat bepaalt dat voor een woningcorporatie of een water- en energieleverancier het aanstellen van een FG in beginsel niet verplicht is. Daarbij komt dat het begrip ‘grootschalige gegevensverwerking van bijzondere persoonsgegevens’ nog lastig te duiden is. Hoe groot zijn de banken en verzekeraars die de FG plicht kregen? In welke hoeveelheden verwerken zij bijzondere persoonsgegevens? We weten nog niet precies waar de grens van grootschaligheid ligt. 

Heeft u zin om met een van onze juristen te sparren over uw verplichting om een FG aan te stellen? Of denkt u nu: “Help, ik heb een FG nodig!”? Audittrail helpt! Al vanaf 4 uur per week huurt u interim expertise van Audittrail in. Neem eens contact op voor een vrijblijvend gesprek.

Reactie plaatsen