Zoeken
Sluit dit zoekvak.
Foto van mr. Hester Spaans

mr. Hester Spaans

Co-founder & General Legal Counsel

Heeft mijn bedrijf een Functionaris gegevensbescherming (FG) nodig?

Een Functionaris gegevensbescherming (FG) is grond van de Algemene Verordening Gegevensbescherming (AVG) verplicht voor bepaalde bedrijven. Het goede nieuws is dat je dus niet altijd verplicht bent een FG aan te stellen. Desalniettemin kan het soms lonen om – ook wanneer dit niet verplicht is – een onafhankelijke FG aan te stellen. Stel je geen FG aan terwijl je dit wel had moeten doen? Dan kun je een boete tot 10 000 000 EUR verwachten of, voor een onderneming, tot 2 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar. Klinkt niet goed, toch? Na deze blog weet je of je een FG nodig hebt en kun je weer rustig slapen.

Wat is het voordeel van een FG?

Een goede (en daadwerkelijk onafhankelijke) FG helpt je bij het ontwikkelen en implementeren van het juiste privacybeleid. Een FG vervult bovendien de volgende taken:

  1. hij informeert en adviseert de verwerkingsverantwoordelijke, verwerker en eventuele werknemers over hun verplichtingen op het gebied van privacy;
  2. hij ziet toe op de naleving van de AVG en het privacybeleid;
  3. hij wijst de verantwoordelijkheden toe van het bij de verwerking betrokken personeel en traint het personeel waar nodig;
  4. hij verstrekt advies bij een DPIA en ziet toe op de uitvoering daarvan;
  5. hij werkt samen met de AP en is het contactpunt.

Wanneer is een FG nodig?

Je dient een FG aan te stellen in drie situaties:

  • Wanneer je een overheidsinstantie of -orgaan bent (rechtbanken zijn uitgezonderd);
  • Wanneer je hoofdzakelijk op grote schaal aan regelmatige en stelselmatige observatie van betrokkenen doet;
  • Wanneer je hoofdzakelijk op grote schaal bijzondere persoonsgegevens verwerkt (zoals gegevens over gezondheid, ras of etnische afkomst, politieke opvattingen of geloofsovertuiging).

Hoofdzakelijk houdt volgens de WP29 de “sleutelactiviteiten die nodig zijn om de doelen van de verwerkingsverantwoordelijke of verwerker te bereiken”, in. Ook organisaties die zich niet bezig houden met data-analyse kunnen hieronder vallen wanneer de gegevensverwerking als een onlosmakelijk onderdeel van de activiteiten van de verwerkingsverantwoordelijke of verwerker kan worden beschouwd.

Op grote schaal refereert naar het aantal betrokkenen (en dus niet de omvang van het bedrijf). Wanneer een bedrijf slechts twee medewerkers heeft en een groot klantenbestand met bijzondere persoonsgegevens beheert, kan het verplicht zijn een FG aan te stellen. Er bestaat dus géén vrijstelling voor kleine bedrijven!

Volgens de WP29 moet met het volgende rekening worden gehouden:

  • Het aantal betrokkenen in kwestie
  • Het datavolume
  • De duur van de gegevensverwerking
  • De geografische omvang van de verwerkingsactiviteit

Regelmatige en stelselmatige observatie van betrokkenen houdt alle vormen van tracking via het internet en profilering in, maar is niet beperkt tot online tracking.

Tot slot ben je verplicht een FG aan te stellen wanneer wetgeving van een lidstaat dit vereist.

In veel gevallen is het duidelijk of een FG wel of niet verplicht is. Twijfel je? Zorg er dan voor dat je een heldere interne analyse vastlegt om te bepalen of een FG vereist is voor jouw bedrijf. Zo kun je aantonen aan de toezichthouder dat je alle factoren hebt afgewogen om tot het besluit van het wel of niet aanstellen van een FG te komen.

Voorbeelden

Je weet nu onder welke omstandigheden een FG verplicht moet worden aangesteld. Laten we eens naar een aantal voorbeelden kijken:

Een beveiligingsbedrijf dat verantwoordelijk is voor de bewaking en monitoring van winkelcentra en openbare ruimtes.

De kernactiviteit van het beveiligingbedrijf is zonder twijfel het bewaken van ruimtes. Een FG moet verplicht worden aangesteld.

Een start-up in fietsverhuur voor particulieren vraagt zich af of ze een FG moeten aanstellen. Ze hebben enkele medewerkers in dienst en verwerken persoonsgegevens vanwege de salarisadministratie.

De salarisadministratie kan hier niet als de kernactiviteit van de start-up worden beschouwd. Een FG is niet vereist.

Een strafrechtadvocaat vraagt zich af of hij een FG dient aan te stellen, omdat hij veel gevoelige persoonsgegevens (namelijk strafrechtelijke gegevens) verwerkt.

Had hij zich maar in het privacyrecht verdiept (grapje natuurlijk)! Weliswaar komt de desbetreffende advocaat regelmatig in aanraking met strafrechtelijke gegevens, maar het betreft geen verwerking op grote schaal. Volgens overweging 91 van de AVG mag de verwerking van persoonsgegevens niet als een grootschalige verwerking worden beschouwd als het gaat om de verwerking van persoonsgegevens van patiënten of cliënten door een individuele arts, een andere zorgprofessional of door een advocaat.

Conclusie: Het loont de moeite om na te gaan of jouw bedrijf een FG nodig heeft en er – indien nodig – een aan te stellen. Wees je ervan bewust dat de beoordeling of een FG moet worden aangesteld, niet een eenmalige oefening is: door veranderingen in jouw bedrijf of de regelgeving kan deze beoordeling moeten worden aangepast.

Heb je meer vragen over dit onderwerp of zoek je een onafhankelijke FG voor jouw bedrijf? Neem dan gerust contact met ons op. Wij kunnen ook de rol van FG voor jouw bedrijf vervullen.

Legal support nodig?

Neem contact met ons op

Scroll naar boven

mr. Hester Spaans

Co-founder & General legal consultant

Hester is een van de oprichters van Spaans&Spaans en werkt als General Legal Consultant. Ze heeft meerdere masters in het recht afgerond aan de Universiteit van Amsterdam en het voorrecht gehad een half jaar aan de University of Hong Kong te mogen studeren. Gefrustreerd over de stoffige juridische wereld, besloot ze destijds het heft in eigen hand te nemen en als ondernemer te starten. 

Inmiddels werkt ze al zo’n 5 jaar bij Spaans&Spaans en heeft ze honderden ondernemers mogen bijstaan met vraagstukken op het snijvlak van IT en recht.

Haar passie voor tech (en met name web3!) is van grote waarde bij het ‘vertalen’ van juridische regelgeving op het gebied van ICT/internet-en privacyrecht naar de dagelijkse technische realiteit. Klanten omschrijven haar als doortastend, vakkundig en pragmatisch. Om haar kennis op peil te houden is ze o.a. lid van de Vereniging voor Auteursrecht. 

mr. Lucia Spaans

Co-founder & Privacy officer

Lucia is mede-oprichter van Spaans&Spaans en werkt gedreven samen met het team aan het leveren van onze juridische diensten op top niveau.

Ze is enorm gemotiveerd en een perfectioniste (soms, oké, dikwijls, op het irritante af) die alles tot in de puntjes geregeld wil zien. Haar passie voor het recht kwam al naar voren tijdens haar studietijd in Amsterdam, waar ze ervoor koos om twee juridische masters te volgen. Het liefst controleert ze alle juridische stukken en correspondentie die dagelijks bij Spaans&Spaans de deur uitgaan meerdere malen, zodat de cliënt er zeker van kan zijn dat alles perfect geregeld is.

Verder is ze een groot fan van koffie, reist ze graag en is ze actief als gitariste (ja, echt).