Functionaris Gegevensbescherming verplicht in nieuwe privacywet

Per juli 2017 is er een nieuwe Privacyverordening: Welke organisaties moeten een functionaris gegevensbescherming/Data Protection Officer aanstellen? Lees snel de blog van Interim Privacy Council Bas Haanraadts.

In mei 2018 wordt de nieuwe Europese privacywetgeving, de Algemene Verordening Gegevensbescherming (AVG) van kracht en zijn bepaalde organisaties verplicht om een Functionaris Gegevensbescherming of Data Protection Officer aan te stellen. Moet uw organisatie een functionaris voor de gegevensbescherming aanstellen? Regelmatig kom ik in de privacy praktijk organisaties tegen met deze vraag. In dit artikel leg ik uit dat in ieder geval de zorginstellingen in Nederland iemand moeten aanstellen voor gegevensbescherming.

Verantwoordelijkheden Functionaris Gegevensbescherming

De functie van een Functionaris Gegevensbescherming is die van een onafhankelijk, intern toezichthouder, die zorgt voor naleving van de privacywetgeving. Deze persoon houdt toezicht op en adviseert over de verwerking van persoonsgegevens binnen de organisatie. Hij of zij is contactpersoon voor betrokkenen met betrekking tot verwerking van persoonsgegevens. Ook is hij of zij intermediair richting de toezichthouder, de Autoriteit Persoonsgegevens. Het bijhouden van een register van de gegevensverwerkingen behoort tot de werkzaamheden.

Zowel intern als extern kan hiervoor iemand aangesteld worden. De aanwezigheid van een Functionaris Gegevensbescherming versterkt het vertrouwen van klanten en personeel dat een organisatie op een goede manier met de persoonsgegevens omgaat. Daarnaast geeft het een positieve impuls aan het privacy bewustzijn binnen een organisatie waarmee het gevaar van (hoge) boetes als gevolg van het schenden van privacyregels wordt beperkt. De functionaris gegevensbescherming is het geweten van het bedrijf met betrekking tot het naleven van de Europese privacyverordeningen.

Welke organisaties moeten een Functionaris Gegevensbescherming aanstellen?

Wel of niet iemand aanstellen voor de bescherming van data is een onderwerp waarover veel onduidelijkheid bestaat. De huidige Nederlandse privacywet, de Wet bescherming persoonsgegevens (Wbp), kent de mogelijkheid om op vrijwillige basis een Functionaris voor de Gegevensbescherming aan te stellen. De AVG verplicht bepaalde soorten bedrijven hier iemand voor aan te stellen. Het gaat daarbij om:

• Publieke instellingen die persoonlijke data verwerken (behalve gerechtelijke instellingen);
• Organisaties waarbij systematische monitoring van individuen onderdeel is van de kernactiviteit;
• Organisaties waarbij verwerking van specifieke datacategorieën (bijzondere persoonsgegevens zoals gezondheidsdata of geloofsovertuiging ) onderdeel is van de kernactiviteit.

Over de eerste categorie bestaat geen misverstand, gemeentes, waterschappen en alles wat een publieke instelling is, moet een FG aanstellen, vanaf het moment dat de AVG van kracht wordt. Maar bij de volgende twee categorieën wordt het vager. Want, ik hoor u denken: “is systematische monitoring of verwerking van specifieke datacategorieën een kernactiviteit van mijn organisatie?”

De AVG kent meerdere van dit soort algemene, min of meer open normen. Deze normen zullen in de komende jaren nader ingevuld moeten gaan worden. Enerzijds zal dit gebeuren door richtlijnen van de toezichthouders, anderzijds door de rechtspraak.

Functionaris Gegevensbescherming in de zorg

Alle nationale privacy toezichthouders werken samen in een Europese werkgroep die advies verstrekt over hoe bepaalde artikelen geïnterpreteerd moeten worden. In december 2016 heeft deze werkgroep een richtlijn gepubliceerd om het aanstellen van een Functionaris Gegevensbescherming te verduidelijken. Gelukkig is de werkgroep in haar advies erg duidelijk voor wat de zorg betreft. Wanneer de verwerking van persoonsgegevens een onlosmakelijk deel uitmaakt van de kernactiviteit van het bedrijf, stelt ze dat de organisatie een functionaris moet aanstellen. De werkgroep geeft hierbij expliciet het voorbeeld van een ziekenhuis. De kernactiviteit van een ziekenhuis is het bieden van gezondheidszorg. Echter, een ziekenhuis kan deze gezondheidszorg niet veilig en effectief aanbieden zonder de verwerking van medische gegevens van de patiënt – dit zijn bijzondere persoonsgegevens.

Daarom wordt de verwerking van deze gegevens beschouwd als een van de kernactiviteiten van een ziekenhuis en moet elk ziekenhuis dus een functionaris voor de gegevensbescherming aanstellen. Ik zou dit standpunt willen doortrekken naar iedere instelling, die enige vorm van zorg verleent – zorgverlening zonder verwerking van medische gegevens is ondenkbaar. Bovendien is het aanstellen van een Functionaris Gegevensbescherming voor de zorg in Nederland, zoals hierboven al genoemd, in de wet vastgelegd en gaat dit al in op 1 juli 2017.

Per wanneer moet organisatie een Functionaris Gegevensbescherming aanstellen?

Vanaf het moment dat de AVG van kracht is moet iedere zorginstelling in Europa een Functionaris Gegevensbescherming hebben benoemd. Echter, de situatie in Nederland is nog net iets anders, hier is de deadline voor zorginstellingen niet mei 2018, maar juli 2017. Wat is het geval? Op 4 oktober 2016 is de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wvpz) aangenomen en per 1 juli 2017 treedt deze wet in werking. Tegelijk met deze wet is bepaald dat alle zorginstellingen een functionaris moeten aanstellen voor bescherming van data. Hiermee geeft de wetgever uiting aan het grote belang dat ze hecht aan een adequate en passende beveiliging van elektronische gegevensuitwisseling in de zorg.

De boodschap voor alle zorginstellingen in Nederland is daarom duidelijk; het aanstellen van een Functionaris Gegevensbescherming is vanaf 1 juli 2017 onontkoombaar.

DPA Privacy is gespecialiseerd in de selectie en bemiddeling van privacy counsels voor interim-opdrachten en privacy advies. De interim privacy counsels zijn in dienst bij DPA, of aan ons verbonden zzp’ers. Neem contact op met Paul Schraven, business line manager DPA Privacy. Hij kan u nadere info verstrekken op telefoonnummer 06 52 30 22 40 of email [email protected].