Op grond van de komende Algemene Verordening Gegevensbescherming moeten veel organisaties een 'functionaris gegevensbescherming' (F-G) aanstellen. De tekst van de AVG over die verplichting is echter bepaald niet scherp te noemen. En de toezichthouders grijpen die ruimte om de wet (extreem) ruim te lezen. De Nederlandse wetgever zou moeten ingrijpen door bij de nu aanhangige UAVG duidelijke keuzes te maken. Want als toezichthouders moeten worden gevolgd, hebben we straks meer dan 60.000 FG's nodig (en die zijn er helemaal niet!).
Verplichte benoeming F-G in vier gevallen
Op grond van artikel 37 is het aanstellen van een F-G verplicht in vier gevallen (ik citeer de Engelse wetstekst):
- Overheidsorgaan: verwerking door een "public authority or body", met uitzondering van gerechten;
- Grootschalige monitoring: "the core activities (...) require regular and systematic monitoring of data subjects on a large scale";
- Grootschalige verwerking bijzondere/strafrechtelijke gegevens: "the core activities (...) consist of processing on a large scale of special categories of data (...) and personal data relating to criminal convictions and offences" .
- Wettelijke plicht: "required by Union or Member State law".
Met name op het eerste punt zal ik hierna nader ingaan.
Opinie van de WP29 over de verplichting: alles ruim interpreteren
Op 5 april 2017 is een gereviseerde versie van een opinie van de artikel 29 werkgroep uitgekomen over de verplichting een F-G aan te stellen.
Opmerkelijk aan die opinie is dat de WP29 de begrippen steeds zodanig interpreteert, dat heel veel organisaties een F-G zouden moeten aanstellen. Ter illustratie:
- waar de AVG zelf bij grootschalig verwijst naar "at regional, national or supranational level", vinden de toezichthouders dat "large scale" gewoon "veel" betekent en verwerkt een enkele bank volgens hen al gegevens op grote schaal;
- waar de AVG bij profiling toch lijkt te wijzen op de opbouw van een heel grootschalig, risicovol, profiel, vinden de toezichthouders reguliere "data-driven marketing activities" of "loyalty programs" daar al onder vallen. Ook allerlei activiteiten die met "risk assessment" te maken hebben vallen er onder.
Wanneer deze opinie wordt opgevolgd zijn er al heel (!) veel bedrijven en instellingen die een F-G moeten aanstellen. De meeste wat grotere bedrijven zullen immers al snel aan "data-driven marketing" of "loyalty programs" doen.
En veel webshops voeren bij de bestelling "onder water" een controle uit op kredietwaardigheid en bepalen daarna pas welke betaalopties er in beeld verschijnen (en dat is "profiling").
Voor publieke taak verwijzing naar nationaal recht
Het voorgaande gaat alleen nog maar over de private sector. Wat is echter een "public authority or body"? In de opinie is daarover het volgende te lezen:
The GDPR does not define what constitutes a ‘public authority or body’. The WP29 considers that such a notion is to be determined under national law.
Het is dus aan de nationale wetgever om te bepalen welke partijen worden beschouwd als een "public authority or body".
Parallel zoeken met a- en b-organen Awb?
Het is de vraag wat we naar Nederlands recht moeten verstaan onder een "public authority or body". In de Nederlandse versie van de AVG is dit overigens vertaald als "een overheidsinstantie of overheidsorgaan".
In onze Grondwet komen deze begrippen niet voor. In andere wetten komt het begrip overheidsorgaan en overheidsinstantie slechts sporadisch voor (en regelmatig in door EU-richtlijnen beïnvloede wetgeving). Waar het begrip gedefinieerd is (bijv. artikel 1 Archiefwet), is de definitie vaak gelijkluidend aan die van het begrip "bestuursorgaan" in de Algemene wet bestuursrecht (Awb) of wordt daar naar verwezen (bijv. artikel 41a Wegenverkeerswet).
Het lijkt dus voor de hand te liggen de parallel te zoeken met het begrip "bestuursorgaan" uit de Awb.
Awb kent A- en b-organen
De Awb verstaat onder een bestuursorgaan hetzij:
- een orgaan van een rechtspersoon die krachtens publiekrecht is ingesteld, of
- een ander persoon of college, met enig openbaar gezag bekleed.
Veel a-organen
Het aantal a-organen is al best uitgebreid. Het gaat dan immers niet alleen om bijvoorbeeld de gemeente zelf, maar ook de organen van die gemeente (zoals de burgemeester). Als al die organen op zichzelf een F-G moeten aanstellen, dan wordt het nog druk.
Toegegeven, de F-G rol mag worden uitbesteed, en de toezichthouders onderkennen in voornoemde opinie (par 2.3) dat een F-G voor meerdere organisaties tegelijk mag werken. Zo zou een F-G dus best voor een instelling kunnen werken, waarbinnen meerdere organen actief zijn die allemaal op zichzelf kwalificeren als bestuursorgaan.
De toezichthouders benadrukken echter ook dat de F-G niet in een belangenconflict mag terechtkomen. En die kunnen er best binnen een instelling zijn (bijv. een burgemeester die meer met persoonsgegevens wil doen dan de gemeenteraad goed vindt). Moet dan een gemeente straks al meerdere F-G's gaan aanstellen?
En ook veel b-organen
Het aantal b-organen is echter ook uitgebreid. In een conclusie bij een uitspraak van de Raad van State uit 2014 vermeldt de Advocaat Generaal onder meer de volgende B-organen:
- de als APK-keurder erkende garagehouder;
- Stichting Centraal Orgaan Ziekenhuistarieven (voor zover deze het in rekening brengen van een verhoogd of nieuw tarief door een ziekenhuis al dan niet goedkeurt);
- de Raad van Beroep van de Stichting NAK (voor zover deze oordeelt over bepaalde besluiten op gvan de Zaaizaad- en Plantgoedwet);
- de Stichting Centraal Bureau Rijvaardigheid (voor zover deze besluiten neemt betreffende de afgifte van rijvaardigheidsbewijzen);
- de Mondriaan Stichting (voor zover deze beslist over subsidieverzoeken);
- Railned BV (voor zover deze capaciteit op het spoor toewijst);
- de Nederlandse Bank NV (voor zover beslissend over de omwisseling van guldens in Euro’s);
- het bestuur van een school voor bekostigd bijzonder onderwijs (voor zover het getuigschriften afgeeft);
- de Stichting Urgentiebepaling Woningzoekenden Rijnmond;
- de Klachtencommissie en de Beroepscommissie van de Stichting Informatiedienstencode (Stic).
Een simpele optelsom....
Wanneer ik het voorgaande optel kom ik tot vele tienduizenden benodigde F-G's. Zie daarvoor het schema onderaan dit bericht.
Toegegeven: er zit wat overlap in die tabel, maar in de tabel ontbreken evengoed allerlei bedrijven en instellingen. Zeker de ICT-sector laat zien dat ook bedrijven met weinig personeelsleden heel veel gegevens kunnen verwerken (vgl. de overname van WhatsApp, waar ten tijde van de overname slechts ongeveer 50 personeelsleden werkten). Al met al denk ik dat deze tabel helemaal geen gekke schatting bevat.
Tienduizenden duizendpoten vereist
Wanneer de toezichthouders worden gevolgd, dan zijn er dus tienduizenden FG's nodig. Tienduizenden mensen die bovendien, volgens diezelfde opinie van de toezichthouders:
- een "in-depth" kennis hebben van het privacyrecht; en
- alle gegevensverwerkingen in de organisatie begrijpen;
- verstand hebben van ICT;
- de organisatie snappen waarvoor ze werken;
- verstand hebben van cultuurverandering.
Die mensen zijn er echter helemaal niet!
Laten we dan eens kijken naar de nuchtere feiten. Het CBS leert ons dat in 2016 er in Nederland totaal 64.000 juristen werkzaam zijn. Dat zijn alle juristen, niet eens de juristen met specifieke kennis van het privacyrecht. En als je al een jurist kan vinden met verstand van privacyrecht, dan is het aantal mensen dat aan de overige criteria zal voldoen vermoedelijk ook slechts op enkele handen te tellen. Het is dus schier onmogelijk om voldoende FG's te vinden.
Vaagheid alom, welk bedrijf wordt de pisang?
Het eerste bedrijf of de eerste instelling dat door de Autoriteit Persoonsgegevens (AP) wordt aangesproken op het (volgens de AP onterecht) niet hebben van een FG mag dus heel wat kastanjes uit het vuur gaan halen.
- Is het niet hebben van een FG per definitie beboetbaar? Of alleen als er onvoldoende hard naar een FG is gezocht? En wat is dan onvoldoende?
- En wanneer is iemand voldoende gekwalificeerd? Volstaat een (veelal veel te dure) tweedaagse cursus? Of moet iemand gepromoveerd zijn in het privacyrecht? Of ligt de waarheid daar ergens tussenin?
- En wanneer wordt de FG feitelijk voldoende in staat gesteld zijn/haar werk uit te voeren? Gaat de AP straks beoordelen of het aan de F-G budget
En het gros van die "kastanjes" is door de wetgever zelf in het vuur gelegd. Is het nu redelijk om een bedrijf of instelling op kosten te jagen om te gaan procederen om al die vaagheid op te helderen?
Wetgever: grijp in
In plaats van de maatschappij deze kastanjes uit het vuur te laten halen, zou de wetgever ook zelf (in ieder geval deels) voor (meer) duidelijkheid kunnen zorgen. De Nederlandse wetgever heeft nu (tot op zekere hoogte) de kans. De Nederlandse uitvoeringswet ligt op dit moment bij de Tweede Kamer.
De Nederlandse wetgever zou op zijn minst:
- een keuze kunnen maken wat we in Nederland onder een "public authority or body" verstaan (oftewel: moet iedere APK-keurmeester straks een F-G inhuren of niet?);
- uitdrukkelijk kunnen bepalen dat in Nederland er geen andere omstandigheden zijn dan die genomd in de AVG waaronder een FG moet worden aangesteld (artikel 37 lid 4 AVG);
- de regering oproepen om in EU-verband een helder signaal af te geven dat de AVG niet zo ruim is bedoeld als de toezichthouders deze nu lezen (vgl. de brief die de EC eerder uitgaf over 'dataportabiliteit') .
Nederland lijkt, juist omdat de AVG een Europese verordening is, geen eigen ruimte (meer) te hebben om zelfstandig een kader te stellen waarmee de opinie van de WP29 wordt ingeperkt. Vandaar de route van de Europese oproep.
Het effect van een dergelijke oproep moet echter niet worden onderschat. Juist omdat de AVG grotendeels achter gesloten deuren tot stand is gekomen en een toelichting ontbreekt, is ieder (nieuw) document dat afkomstig is van de Europese wetgever over de interpretatie van de AVG zeer waardevol.
Heeft u vragen? Neem contact op
Heeft u vragen over het privacyrecht, waaronder de vele nieuwe verplichtingen uit de AVG? Neem dan contact op. Wij houden ons al vele jaren bezig met het privacyrecht en kennen de ins-and-outs (het eerste bericht op deze blog is alweer uit 2009....).
Mark Jansen
advocaat IT- en privacyrecht
Bijlage: tabel met bedrijven/instellingen die FG moeten hebben volgens wp29 opinie
| Alle provincies | Mogelijk meerdere F-G’s per provincie (zie hiervoor) | 12 |
| Alle waterschappen | Mogelijk meerdere F-G’s per waterschap (zie hiervoor) | 21 |
| Alle gemeentes | Mogelijk meerdere F-G’s per gemeente (zie hiervoor) | 388 |
| Alle ZBO’s | Mogelijk meerdere F-G’s per ZBO (zie hiervoor) | 121 (bron) |
| Alle APK-keurmeesters | 25.000(bron) | |
| Alle instellingen voor (bijzonder) onderwijs | 1192 | |
| Primair (op bestuur) | 449 (bron) | |
| Voortgezet | 635 (bron) | |
| MBO | 56 (bron) | |
| HBO | 34 (bron) | |
| WO | 18 (bron) | |
| Alle aanbieders van openbare communicatienetwerken | Zie pagina 8 van de opinie | 626 (bron) |
| Alle aanbieders van openbare communicatiediensten | Zie pagina 8 van de opinie | 1015 (bron) |
| Alle banken | Zie pagina 8 van de opinie | 743 (bron) |
| Alle verzekeraars | Zie pagina 8 van de opinie | 1125 (bron) |
| Alle ziekenhuizen | Zie pagina 8 van de opinie | 322 (bron |
| Alle ondernemingen met meer dan 20 werknemers | Onder de aanname dat de wat grotere ondernemingen aan ‘data driven marketing’ en/of ‘loyaty programs’doen en/of bewakingscamera’s (CCTV) gebruiken | 33.980 (bron) |
