Onze stichting voert het grootste gedeelte van onze werkzaamheden uit voor overheden. Daarvoor krijgen wij subsidie van verschillende gemeenten. Daarnaast voeren we betaalde opdrachten uit voor (andere) private partijen. Bij deze werkzaamheden verwerken we verschillende persoonsgegevens. Naar aanleiding van de uitgevoerde controles van de Autoriteit Persoonsgegevens (AP) op de aanwezigheid van een Functionaris Gegevensbescherming (FG) vragen we ons af in hoeverre wij ook verplicht zijn om een FG aan te stellen? Wanneer valt een organisatie onder de definitie ‘overheidsorganisatie’ in de zin van artikel 37 AVG?
Antwoord in het kort
Of een organisatie onder het begrip ‘overheidsinstantie’ valt, moet worden beoordeeld aan de hand van het nationaal recht. Het Rijk en de Autoriteit Persoonsgegevens hebben hier nog geen officiële richtlijnen voor uitgebracht. Er is wel aangegeven dat er in elk geval gekeken kan worden naar de definitie van bestuursorgaan in de zin van artikel 1:1 van de Algemene wet bestuursrecht (AWB).
Functionaris voor de gegevensbescherming
Een Functionaris voor de gegevensbescherming (FG) adviseert een organisatie over de toepassing van de AVG en staat deze bij met het interne toezicht op de naleving van relevante wetgeving voor gegevensbescherming. Volgens de AVG is in drie gevallen het aanstellen van een FG verplicht. Eén van die gevallen is ‘wanneer de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan’. Overheidsinstanties die van deze verplichting uitgezonderd zijn, zijn ‘gerechten bij de uitoefening van hun rechterlijke taken’ (artikel 37 AVG).
Dat sommige organisaties verplicht zijn om een FG aan te stellen is nieuw met de inwerkingtreding van de AVG. Onder de daarvoor geldende Richtlijn bescherming persoonsgegevens konden organisaties al wel vrijwillig een FG aanwijzen. Organisaties dienen hun eerder aangestelde of nieuwe FG opnieuw bij de nationale toezichthouder, de Autoriteit Persoonsgegevens, aan te melden. De Autoriteit Persoonsgegevens heeft in de zomer van 2018 de eerste controles op de verplichte aanwezigheid van een FG uitgevoerd middels haar eigen register van aangemelde FG’s.
Overheidsorganisatie
In de AVG zelf wordt geen definitie gegeven van ‘overheidsinstantie of overheidsorgaan’. Het kan daarom voor sommige organisaties lastig zijn om te beoordelen of zij een organisatie zijn die volgens de AVG verplicht is een FG aan te stellen. De Europese Artikel 29-werkgroep gaat kort in op dit vraagstuk in de ‘Richtlijnen omtrent de Functionaris Gegevensbescherming’. Deze werkgroep bestaat uit vertegenwoordigers van de EU-toezichthouders voor gegevensbescherming en opereert sinds de inwerkingtreding van de AVG als de European Data Protection Board. De toezichthouders geven in de richtlijnen aan dat op grond van het nationaal recht bepaald dient te worden wat onder ‘overheidsinstantie of overheidsorgaan’ valt. Volgens de werkgroep betekent dit dat naast lokale en regionale autoriteiten doorgaans ook andere publiekrechtelijke instanties onder de definitie zullen vallen. Als voorbeeld wijst de werkgroep hierbij op de definitie van publiekrechtelijk lichaam in de Europese Richtlijn Hergebruik Overheidsinformatie.
Vrijwillig aanwijzen FG
In de richtlijnen gaat de werkgroep ook in op de situatie waarin overheidstaken – op grond van publiek recht of privaatrecht – door andere natuurlijke personen of rechtspersonen kunnen worden uitgeoefend. Zo wordt er gewezen op voorbeelden in het openbaar vervoer of water- en energievoorziening. De werkgroep geeft aan dat er in dergelijke gevallen geen verplichting bestaat een FG aan te wijzen.
Echter, zo geeft de werkgroep in de richtsnoeren ook aan, de betrokkenen van wiens persoonsgegevens in deze situatie worden verwerkt, bevinden zich in zulke gevallen wellicht wél in vrijwel dezelfde situatie als diegenen wiens persoonsgegevens door een overheidsinstanties verwerkt worden. De werkgroep omschrijft een dergelijke situatie als volgt: “Dit houdt met name in dat gegevens mogelijk voor soortgelijke doelen verwerkt worden, mensen in deze gevallen weinig of geen keuze hebben of en hoe hun gegevens worden verwerkt, en daarom wellicht dezelfde aanvullende bescherming nodig hebben die met de aanwijzing van een FG bereikt kan worden. Hoewel in dergelijke gevallen geen verplichting bestaat, raadt WP29 als een good practice aan dat privaatrechtelijke organisaties die overheidstaken verrichten of publiek gezag uitoefenen een FG aanwijzen.”
De stichting dient daarom naar het nationaal recht te kijken voor een definitie van het begrip ‘overheidsinstantie’. Mocht de situatie aansluiten bij een van de voorbeelden die de werkgroep geeft en de stichting niet verplicht is een FG aan te stellen, zou wel kunnen overwogen worden dit vrijwillig te doen.
Nederlands recht
In Nederland is er geen officiële definitie van de begrippen ‘overheidsinstantie of overheidsorgaan’ in de zin van de AVG opgesteld. Ook de Uitvoeringswet AVG en de Handleiding AVG van het Ministerie van Justitie en Veiligheid gaan niet uitgebreid op de uitleg van deze begrippen in. Volgens het Ministerie van BZK en de Autoriteit Persoonsgegevens kan voor de uitleg van ‘overheidsinstantie of overheidsorgaan’ onder andere gekeken worden naar de definitie van bestuursorgaan in de zin van artikel 1:1 van de Algemene wet bestuursrecht (Awb).
Onder het begrip bestuursorgaan vallen ieder geval: alle organen van het Rijk, de provincies en gemeenten, waterschappen en andere openbare lichamen op grond van artikel 134 Grondwet en zelfstandige bestuursorganen. Deze organen zullen in elk geval als overheidsinstantie of overheidsorgaan in de zin van artikel 37 AVG kwalificeren en in principe verplicht zijn een FG aan te stellen.
Moet de stichting een FG aanwijzen?
Als de stichting niet als bestuursorgaan in de zin van de Awb kwalificeert, kan op basis van bovenstaande worden aangenomen dat zij niet onder de definitie van ‘overheidsorgaan of overheidsinstantie’ in de zin van artikel 37 van de AVG valt. Het is wel goed om te onthouden dat het zijn van een overheidsorgaan of instantie slechts een van de drie mogelijkheden is waarbij het aanwijzen van een FG verplicht is. De stichting kan ook onder deze verplichting vallen indien de werkzaamheden van de stichting ofwel te maken hebben met het regelmatig en op grote schaal observeren van betrokkenen, of deze veel bijzondere persoonsgegevens verwerkt.
De Autoriteit Persoonsgegevens geeft aan dat organisaties die nog geen sluitend antwoord hebben op de vraag of zij wel of niet verplicht zijn een FG aan te stellen contact kunnen opnemen met de AP.
Organisaties zijn uiteindelijk altijd zelf verantwoordelijk voor het maken van de afweging of zij een FG moeten aanwijzen. Daarnaast hebben zij ook altijd de mogelijkheid om vrijwillig een FG aan te wijzen. Aan organisaties die er uiteindelijk voor kiezen om geen FG aan te wijzen, wordt aangeraden deze beslissing duidelijk in het privacybeleid te motiveren.
Meer informatie
De Algemene verordening gegevensbescherming, Kenniscentrum Europa decentraal
Richtlijnen omtrent de Functionaris Gegevensbescherming, Werkgroep 29
Functionaris voor de gegevensbescherming (FG), Autoriteit Persoonsgegevens