Wettelijke criteria: wanneer is een FG verplicht?
De Algemene Verordening Gegevensbescherming (AVG) stelt in artikel 37 duidelijke criteria vast voor wanneer organisaties verplicht zijn een Functionaris Gegevensbescherming aan te stellen. Deze criteria zijn niet vrijblijvend en het niet naleven kan leiden tot aanzienlijke boetes door de toezichthouder. Het is essentieel om te begrijpen dat de verplichting niet afhankelijk is van de grootte van uw organisatie, maar van de aard en omvang van de gegevensverwerking.
Een FG is verplicht in de volgende situaties:
- Overheidsorganisaties: Alle overheidsorganisaties en publiekrechtelijke lichamen moeten een FG aanstellen, ongeacht hun omvang of het soort gegevensverwerking
- Grootschalige systematische monitoring: Organisaties waarvan de kernactiviteiten bestaan uit verwerkingen die een regelmatige en systematische observatie van betrokkenen vereisen
- Grootschalige verwerking van bijzondere gegevens: Organisaties die op grote schaal bijzondere persoonsgegevens of strafrechtelijke gegevens verwerken
De interpretatie van deze criteria kan complex zijn. Veel organisaties maken de fout om alleen naar hun sector te kijken, terwijl de aard van hun gegevensverwerking doorslaggevend is. Een gekwalificeerde FG kan niet alleen helpen met compliance, maar ook waardevolle inzichten bieden in privacy-by-design processen.
Grootschalige verwerking: wat betekent dit precies?
Het begrip 'grootschalige verwerking' is cruciaal voor het bepalen wanneer fg verplicht is, maar de AVG geeft geen exacte getallen. De Europese privacyautoriteiten hebben in hun richtlijnen wel factoren genoemd die duiden op grootschalige verwerking. Deze interpretatie is belangrijk omdat veel organisaties ten onrechte denken dat zij te klein zijn voor een verplichte FG.
| Factor | Indicatie grootschalig | Voorbeelden |
|---|---|---|
| Aantal betrokkenen | Meer dan 10.000 per jaar | Webshops, zorgverzekeraars, telecomproviders |
| Geografische reikwijdte | Landelijk of internationaal | Nationale retailers, multinationals |
| Hoeveelheid gegevens | Uitgebreide profielen per persoon | Social media platforms, loyaliteitsprogramma's |
| Duur van verwerking | Continue of langdurige verwerking | HR-systemen, klantenbestand |
Belangrijke sectoren waar vaak sprake is van grootschalige verwerking zijn gezondheidszorg (ziekenhuizen, zorgverzekeraars), financiële dienstverlening (banken, verzekeraars), telecom en internet (providers, platforms), retail (webshops, loyaliteitsprogramma's) en transport (openbaar vervoer, vliegmaatschappijen). Als uw organisatie in een van deze sectoren actief is, is de kans groot dat u een FG moet aanstellen.
Systematische monitoring en observatie
Een ander criterium voor wanneer fg verplicht is, betreft systematische monitoring. Dit gaat verder dan incidentele gegevensverzameling en richt zich op organisaties die structureel gedrag, voorkeuren of bewegingen van personen volgen. In het digitale tijdperk zijn er steeds meer organisaties die onder deze categorie vallen, vaak zonder zich daarvan bewust te zijn.
Voorbeelden van systematische monitoring zijn:
- Online tracking: Websites en apps die gebruikersgedrag volgen voor advertising of analytics
- Locatietracking: Apps die continue locatiegegevens verzamelen
- Gedragsmonitoring: Werkgevers die werknemersgedrag monitoren via computersystemen
- Videobeveiliging: Uitgebreide camerasystemen met gezichtsherkenning of gedragsanalyse
- Marketing automation: Systemen die klantgedrag analyseren voor gepersonaliseerde marketing
- IoT en sensoren: Smart buildings, wearables en andere connected devices
Het is belangrijk op te merken dat niet elke vorm van monitoring automatisch leidt tot een FG-verplichting. De monitoring moet 'grootschalig' en 'systematisch' zijn en onderdeel uitmaken van de kernactiviteiten van de organisatie. Een klein adviesbureau dat Google Analytics gebruikt, valt bijvoorbeeld niet onder deze verplichting, maar een online marketingbureau dat uitgebreide klantprofielen opbouwt wel.
Voor organisaties die twijfelen over hun verplichtingen, kan het raadzaam zijn om een privacy officer of externe privacy-expert te raadplegen. Deze professionals kunnen helpen bij het uitvoeren van een grondige analyse van alle verwerkingsactiviteiten.
Bijzondere persoonsgegevens en strafrechtelijke gegevens
Het derde criterium voor wanneer fg verplicht is, betreft de grootschalige verwerking van bijzondere persoonsgegevens of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten. Deze categorieën gegevens worden door de AVG als extra gevoelig beschouwd vanwege de mogelijke impact op betrokkenen bij misbruik of datalekken.
Bijzondere persoonsgegevens omvatten gegevens over ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, lidmaatschap van vakbonden, genetische gegevens, biometrische gegevens voor identificatie, gezondheidsgegevens en gegevens over seksueel gedrag of seksuele gerichtheid. Strafrechtelijke gegevens betreffen informatie over strafrechtelijke veroordelingen, strafbare feiten of gerelateerde beveiligingsmaatregelen.
Sectoren die regelmatig met deze gegevenstypen werken zijn:
- Gezondheidszorg: Ziekenhuizen, huisartsenpraktijken, apothekers, zorgverzekeraars
- Beveiliging: Beveiligingsbedrijven, private onderzoeksbureaus
- HR en recruitment: Uitzendbureaus, recruitmentbedrijven bij screening
- Financiële dienstverlening: Bij due diligence en complianceonderzoeken
- Onderwijs: Bij bijzondere zorgbehoeften of disciplinaire maatregelen
- Biometrische systemen: Toegangscontrole via vingerafdrukken of gezichtsherkenning
Ook hier geldt dat niet elke verwerking van bijzondere gegevens tot een FG-verplichting leidt. Een kleine tandartspraktijk die patiëntgegevens bijhoudt, hoeft geen FG aan te stellen, maar een groot ziekenhuis of een landelijk werkende zorgverzekeraar wel. De schaalgrootte en systematiek van de verwerking zijn bepalend.
Hulp nodig bij FG-verplichtingen?
Twijfelt u of uw organisatie een Functionaris Gegevensbescherming moet aanstellen? Ontdek gekwalificeerde privacy professionals die u kunnen helpen.
Bekijk Privacy VacaturesUitzonderingen en praktische overwegingen
Hoewel de criteria voor wanneer fg verplicht is helder lijken, zijn er in de praktijk verschillende nuances en uitzonderingen die organisaties moeten overwegen. De Autoriteit Persoonsgegevens (AP) en Europese privacyautoriteiten hebben in verschillende uitspraken en richtlijnen verduidelijkt wanneer organisaties wel of niet onder de verplichting vallen.
Belangrijke uitzonderingen en verduidelijkingen:
- Kleine rechtskundige dienstverleners: Advocatenkantoren en notariskantoren vallen vaak niet onder de verplichting, tenzij zij grootschalig strafrechtelijke gegevens verwerken
- Incidentele verwerking: Organisaties die alleen incidenteel bijzondere gegevens verwerken (bijvoorbeeld een werkgever die ziekteverlof administreert) hoeven geen FG aan te stellen
- Kern- versus ondersteunende activiteiten: De verwerking moet onderdeel zijn van de kernactiviteiten. Een retailer die camerabeveiliging heeft, hoeft daarom niet automatisch een FG aan te stellen
- Historische en statistische doeleinden: Organisaties die persoonsgegevens verwerken voor historisch onderzoek of statistiek kunnen onder bepaalde voorwaarden worden uitgezonderd
Voor organisaties die net onder de criteria vallen, kan het alsnog verstandig zijn om een FG aan te stellen. Dit toont aan dat privacy serieus wordt genomen en kan helpen bij het voorkomen van datalekken en complianceproblemen. Veel organisaties kiezen voor een interim privacy officer of externe FG om flexibiliteit te behouden.
Een praktische stap is het uitvoeren van een privacy-audit waarbij alle verwerkingsactiviteiten in kaart worden gebracht. Dit helpt niet alleen bij het bepalen of een FG nodig is, maar geeft ook inzicht in andere AVG-verplichtingen zoals het bijhouden van een verwerkingsregister of het uitvoeren van data protection impact assessments (DPIA's).
Externe FG: een flexibele oplossing
Organisaties die verplicht zijn een FG aan te stellen, hebben de keuze tussen een interne of externe functionaris. Een externe FG kan een praktische oplossing zijn voor organisaties die niet de middelen hebben voor een fulltime privacy professional of die specifieke expertise nodig hebben voor bepaalde projecten. Het is belangrijk te begrijpen dat deze keuze impact heeft op zowel kosten als effectiviteit.
Voordelen van een externe FG zijn lagere kosten dan een vaste medewerker, toegang tot specialistische expertise, flexibiliteit in inzet en onafhankelijkheid ten opzichte van de organisatie. Een externe FG kan ook meerdere organisaties bedienen, wat kostenefficient kan zijn voor kleinere bedrijven. Voor meer informatie over de mogelijkheden, bekijk ons artikel over FG as a Service.
Nadelen kunnen zijn beperkte beschikbaarheid, minder kennis van de organisatiecultuur, mogelijke interesseconflicten bij het bedienen van meerdere klanten en communicatie-uitdagingen. Het is essentieel dat de externe FG voldoende tijd en aandacht kan besteden aan uw organisatie om effectief te kunnen functioneren.
Selectiecriteria voor een externe FG:
- Relevante opleiding en certificeringen in privacy en gegevensbescherming
- Bewezen ervaring in uw sector of met vergelijkbare organisaties
- Beschikbaarheid en responsiviteit
- Geen interesseconflicten met concurrenten of toezichthouders
- Duidelijke afspraken over verantwoordelijkheden en rapportage
- Kennis van relevante technologieën en systemen
Het is belangrijk om te realiseren dat de externe FG dezelfde wettelijke status heeft als een interne FG. Dit betekent dat zij dezelfde bescherming genieten tegen ontslag of benadeling vanwege het uitvoeren van hun taken. Ook voor de externe FG geldt dat deze direct moet kunnen rapporteren aan het hoogste managementniveau.