Onze stichting voert het grootste gedeelte van onze werkzaamheden uit voor overheden. Daarvoor krijgen wij subsidie van verschillende gemeenten. Daarnaast voeren we betaalde opdrachten uit voor (andere) private partijen. Bij deze werkzaamheden verwerken we verschillende persoonsgegevens. Naar aanleiding van de uitgevoerde controles van de Autoriteit Persoonsgegevens (AP) op de aanwezigheid van een Functionaris Gegevensbescherming (FG) vragen we ons af in hoeverre wij ook verplicht zijn om een FG aan te stellen? Wanneer valt een organisatie onder de definitie ‘overheidsorganisatie’ in de zin van artikel 37 AVG?
Antwoord in het kort
De AVG verplicht overheidsinstanties om een Functionaris voor de Gegevensbescherming aan te stellen. Om te bepalen of een organisatie onder het begrip ‘overheidsinstantie’ valt, moet naar het nationaal recht worden gekeken. De AVG laat dit open, omdat de definitie hiervan verschilt per lidstaat. In Nederland vallen in ieder geval alle decentrale overheden onder overheidsinstanties. Zij zijn dus verplicht een FG aan te stellen.
Functionaris voor de gegevensbescherming
Een Functionaris voor de gegevensbescherming (FG) adviseert een organisatie over de toepassing van de AVG en staat deze bij met het interne toezicht op de naleving van relevante wetgeving voor gegevensbescherming.
De Autoriteit Persoonsgegevens (AP) onderstreept de FG een goede kennis van privacywetgeving en de praktijk van gegevensbescherming nodig heeft. Kennis van nationale en Europese wet- en regelgeving gecombineerd met kennis over IT en informatiebeveiliging zijn hiervoor centraal. Ook kennis van een organisatie en hoe deze organisatie gegevens verwerkt zijn hiervoor cruciaal.
Aanwijzen FG – verplicht of vrijwillig
Volgens de AVG is in drie gevallen het aanstellen van een FG verplicht. Deze zijn opgenomen in artikel 37. De redenen zijn als volgt:
- Als de verwerker een overheidsinstantie of een overheidsorgaan is, met uitzondering van gerechten bij de uitoefening van hun rechterlijke taken.
- Als de verwerker of verwerkingsverantwoordelijke in grote hoeveelheden gegevens verwerkt die vanwege de omvang of in het kader van de doeleinden regelmatige en stelselmatige grootschalige observatie vereist.
- Als de verwerker of verwerkingsverantwoordelijke grootschalig bijzondere persoonsgegevens of persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten verwerkt.
Mocht een organisatie aan één van deze kenmerken voldoen, dan zijn zij dus verplicht om een FG aan te stellen.
Het is onduidelijk of de organisatie uit deze praktijkvraag aan de tweede of derde eis voldoen. Hierdoor kunnen wij binnen dit antwoord hier dan ook geen conclusies over trekken. Over de eerste eis kunnen wij nauwkeuriger zijn. Hier zal de focus dan ook op liggen. De vraag is dan ook of de vraag stellende organisatie als overheidsinstantie geldt, om te beoordelen of het aanstellen van een FG verplicht is.
Echter, zelfs als het niet verplicht is om een FG aan te stellen, is het soms al dan niet meestal wel aan te raden om dit toch te doen. Zeker wanneer een natuurlijk of rechtspersoon op grond van publiek recht of privaatrecht overheidstaken uitvoert.
Dit werd ook aangeraden door de Europese Artikel 29-werkgroep in hun aanbevelingen in de ‘Richtlijnen omtrent de Functionaris Gegevensbescherming’. Deze werkgroep bestaat uit vertegenwoordigers van de EU-toezichthouders voor gegevensbescherming en opereert sinds de inwerkingtreding van de AVG als de European Data Protection Board.
De werkgroep wees er bijvoorbeeld op dat taken zoals openbaar vervoer of water- en energievoorziening van een dergelijk publiek belang zijn dat het aanstellen van een FG bij het verwerken van persoonsgegevens in deze situatie de meest verantwoorde keuze is. Het is dus alleen niet verplicht.
Overheidsorganisatie
Om er achter te komen of de organisatie verplicht is om een FG in te stellen, is het dus van belang om te weten of het een overheidsinstantie is. Om dit te beantwoorden is het nodig om te weten wat een overheidsinstantie is.
In de AVG zelf wordt geen definitie gegeven van ‘overheidsinstantie of overheidsorgaan’. Dit is open gelaten om rekening te houden met de nationale context. In Nederland is er geen officiële definitie van de begrippen ‘overheidsinstantie of overheidsorgaan’ in de zin van de AVG opgesteld. Ook de Uitvoeringswet AVG en de Handleiding AVG van het Ministerie van Justitie en Veiligheid gaan niet uitgebreid op de uitleg van deze begrippen in.
Volgens het Ministerie van BZK en de AP kan voor de uitleg van ‘overheidsinstantie of overheidsorgaan’ onder andere gekeken worden naar de definitie van bestuursorgaan in de zin van artikel 1:1 van de Algemene wet bestuursrecht (Awb). Hiermee worden in ieder geval alle publiekrechtelijke organen aangemerkt, waaronder dus ook decentrale overheden vallen.
Bovengenoemde Europese Artikel 29-werkgroep gaat kort op dit vraagstuk in. de werkgroep geeft aan dat ‘nationale, regionale en lokale instanties’ onder de term overheidsinstanties vallen. Verder wordt ook genoemd dat andere publiekrechtelijke instellingen onder de definitie kunnen vallen. Dit zijn organisaties die ‘in hoofdzaak gefinancierd’ worden door een staats-, regionale of lokale overheidsinstantie of een andere publiekrechtelijke instelling, aldus uitspraak C-380/98.
Moet de stichting een FG aanwijzen?
Als de stichting niet als bestuursorgaan in de zin van de Awb kwalificeert, kan op basis van bovenstaande worden aangenomen dat zij niet onder de definitie van ‘overheidsorgaan of overheidsinstantie’ in de zin van artikel 37 van de AVG valt. Het is wel goed om te onthouden dat het zijn van een overheidsorgaan of instantie slechts een van de drie mogelijkheden is waarbij het aanwijzen van een FG verplicht is. De stichting kan ook onder deze verplichting vallen indien de werkzaamheden van de stichting ofwel te maken hebben met het regelmatig en op grote schaal observeren van betrokkenen, of deze veel bijzondere persoonsgegevens verwerkt.
De Autoriteit Persoonsgegevens geeft aan dat organisaties die nog geen sluitend antwoord hebben op de vraag of zij wel of niet verplicht zijn een FG aan te stellen contact kunnen opnemen met de AP.
Organisaties zijn uiteindelijk altijd zelf verantwoordelijk voor het maken van de afweging of zij een FG moeten aanwijzen. Daarnaast hebben zij ook altijd de mogelijkheid om vrijwillig een FG aan te wijzen. Aan organisaties die er uiteindelijk voor kiezen om geen FG aan te wijzen, wordt aangeraden deze beslissing duidelijk in het privacybeleid te motiveren.
Meer informatie
De Algemene verordening gegevensbescherming, Kenniscentrum Europa decentraal
Richtlijnen omtrent de Functionaris Gegevensbescherming, Werkgroep 29
Functionaris voor de gegevensbescherming (FG), Autoriteit Persoonsgegevens
