Categoriearchief: Regels, protocollen en rechtsissues

De Functionaris gegevens-bescherming

KAN EEN ONDERNEMER DE FG ZIJN VAN DE EIGEN ONDERNEMING?

De AVG heeft een nieuwe markt gecreëerd. Die van Functionarissen Gegevensbescherming. Die taken van de FG mogen door een eigen werknemer worden uitgevoerd. Veel organisaties besteden het echter uit. Vaak wordt de taak van de FG dan neergelegd bij een bedrijf waar men toch al zaken mee deed. De externe boekhouder die wordt tevens FG. Er zijn ook bedrijven bijgekomen die gespecialiseerd zijn in het leveren van de FG’s. Rond het fenomeen FG zijn er ook cursussen en opleidingen opgezet. Als de taken van de FG voor de invoering van de AVG niet werden uitgevoerd, moet de AVG langs deze weg een flinke stimulans zijn geweest voor het Bruto Nationaal Product. Een FG, die kost minstens 600 euro per jaar. Er zijn ongeveer 1,5 miljoen bedrijven in Nederland. Tel daarbij op overheidsinstanties, publieke en semipublieke organisaties zonder winstoogmerk, andere stichtingen en verenigingen, dan tikken we de twee miljoen aan. Als al die organisaties een FG hebben, dan heeft de FG-markt een omvang van 1,2 miljard euro. Dat is slechts 0,16% van het BNP, maar dat is toch al bijna 1/3 van de subsidie die jaarlijks uit de overheidskas naar de kinderopvang stroomt.

Nu zult u denken: “Maar toch niet elke organisatie heeft een FG nodig!” Als u dat denkt, en als u denkt dat voor uw organisatie geldt dat een FG niet verplicht is, dan heb ik slecht nieuws voor u. Artikel 37 van de AVG omschrijft in welke gevallen een FG verplicht is. Zoals elders in de AVG is de formulering in artikel 37 oprekbaar. Er wordt gesproken over “regelmatige en stelselmatige observatie op grote schaal” en “grootschalige verwerking”. In overweging 91 wordt een toelichting daarbij gegeven. Daarbij wordt een aantal beroepsgroepen zelfs expliciet uitgesloten van de verplichting een FG aan te stellen. Artsen, zorgprofessionals, advocaten, die zouden er geen FG bij hoeven te halen. Maar deze overweging moet in kennelijke staat zijn opgesteld. Artsen, zorgprofessionals, advocaten, die leggen nu juist persoonsgegevens vast waarover iedereen zich zo druk maakt. Medische informatie, informatie over seksuele voorkeuren, strafrechtelijke informatie. Bovendien geldt voor dit soort professionals dat die meestal regionaal werken. Daardoor worden niet-grootschalige gegevens als vanzelf grootschalig. De registratie van medische informatie door een huisarts is grootschalig relatief tot de wijk of gemeente waarin de arts actief is.

Het gaat nog even duren maar als alle AVG-deskundigen en –autoriteiten de AVG helemaal hebben doorgekauwd, zal het besef doordringen dat de AVG aan elke organisatie het aanstellen van een FG voorschrijft.

Tot zover het slechte nieuws. Nu dan het goede nieuws. Voor zelfstandige ondernemers, daaronder begrepen zelfstandige artsen, zorgprofessionals en advocaten, is het niet nodig alsnog personeel in te huren om iemand te kunnen aanstellen als FG of een externe FG in te huren. Een zelfstandig ondernemer kan zelf de rol van FG op zich nemen.

Ho, wacht”, zult u nu denken,” er staat toch in de AVG dat dat niet mag, dat de FG nietiemand mag zijn met een hoge functie in het management!” Maar dat staat niet in de AVG. Er staat in de AVG dat de FG een personeelslid kan zijn of een externe dienstverlener (artikel 37, lid 6). Die bepaling staat er om expliciet te maken dat de FG niet per se een eigen personeelslid hoeft te zijn. De bepaling sluit niet uit dat de ondernemer zelf de FG is. In artikel 38, lid 3 en overweging 97 wordt benadrukt dat de FG onafhankelijk moet kunnen opereren, en niet mag worden ontslagen vanwege de wijze waarop die uitvoering geeft aan de taken van FG.# Een zelfstandig ondernemer kan zichzelf echter niet ontslaan en kan vanwege de rechtsvorm van een zelfstandige onderneming per definitie onafhankelijk opereren. In de overwegingen rond de AVG en de richtlijnen die Werkgroep 29 heeft opgesteld, wordt benadrukt dat de FG geen functie mag hebben die zou kunnen leiden tot belangenverstrengeling tussen die functie en de functie van FG. Bij het combineren van de functie van zelfstandig ondernemer en die van FG kan er echter redelijkerwijs geen belangenverstrengeling zijn. Als de ondernemer als zelfstandig ondernemer een keuze zou maken die hij als FG niet zou mogen maken dan zou de ondernemer het belang van zijn bedrijf schaden. Een ondernemer zal echter niets doen waardoor het belang van zijn bedrijf geschaad wordt. Derhalve zal een ondernemer geen keuzes maken die in strijd zijn met de keuzes die de FG zou moeten maken.

Een zelfstandig ondernemer – en een zelfstandige arts, zorgprofessional, advocaat, journalist enz. – kan zich dus bij de Autoriteit Persoonsgegevens melden als FG van de eigen onderneming. De enige extra handeling die daarvoor nodig is, is dat de ondernemer een e-mailaccount aanmaakt dat specifiek bedoeld is voor wie contact met hem wil opnemen in de rol van FG. Bijvoorbeeld FG@<bedrijfsURL>. Dat moet omdat het formulier van de Autoriteit Persoonsgegevens het niet toestaat dat het email-adres van de FG hetzelfde is als dat van de verwerkingsverantwoordelijke.

Jeannette Verhaene

Mr. drs. J. Verhaene is adviseur (m/v) van onafhankelijke Autoriteit Persoonsgegevens binnen de EU. Bijdragen voor de NVCS schrijft zij als onafhankelijk deskundige, op persoonlijke titel.

Brief aan de Autoriteit Persoonsgegevens

Vught, 26 juni 2019

Autoriteit Persoonsgegevens
t.a.v. dhr. mr. A. Wolfsen, bestuursvoorzitter
Postbus 93374
2509 AJ DEN HAAG

Betreft: ons schrijven d.d. 20 mei 2019

Geachte heer Wolfsen,
20 mei 2019 heeft de Nederlandse Vereniging voor Creatief Scepticisme u een brief gezonden waarin u bent geattendeerd op ‘weeffouten’ in de Algemene Verordening Gegevensbescherming, en de niet benijdenswaardige positie waarin u als toezichthouder door deze weeffouten gebracht bent.
Op dit schrijven heeft de NVCS vooralsnog een inhoudelijke reactie noch een ontvangstbevestiging mogen ontvangen.
Kort na verzending van ons schrijven bleek uit de brief die minister Dekker op 7 juni 2019 aan de Tweede kamer heeft gezonden ter zake horizontale privacy dat de minister in de EU gaat pleiten voor een aanscherping van de AVG, en dan met name de bepalingen die in de AVG staan over ‘profiling’. Omdat de AVG eigenlijk geen bepalingen over ‘profiling’ bevat, althans niet over ‘profiling’ in de technische betekenis van dat woord, wil de minister een nieuw element aan de AVG toevoegen. De Nederlandse overheid, met de Autoriteit Persoonsgegevens als onafhankelijk toezichthouder op de achterhand, wil zich met instemming van de EU bevoegdheden toekennen tot het beoordelen van de inhoud van data en de structuur van algoritmes. Dit gaat verder dan enige aspect van de huidige AVG vermits deze zich uitsluitend richtte op formele, protocollaire aspecten van dataverwerking.
Deze tendens in de richting van datapaternalisme druist in tegen de principes van een vrije samenleving en van de rechtstaat. Als de Nederlandse overheid zichzelf inhoudelijke regels wil opleggen bij het verzamelen en verwerken van informatie, dan is dat weliswaar vaak nogal idioot want profiling – volautomatisch, semiautomatisch of met handmatige steun – is een prima hulpmiddel bij het aanpakken van fiscale fraude en het bestrijden van andere vormen van criminaliteit, maar een overheid kan zichzelf de plicht opleggen zich te gedragen als een idioot. Gaat de overheid van vrije burgers, organisaties en bedrijven vragen om zich als idioten te gedragen, dan wordt de klok evenwel teruggedraaid naar lang voor de Magna Carta. Men mag hopen dat een overheid, die eenmaal inziet dat men ten halve aan het dwalen is geslagen, tijdig op de schreden terugkeert. Mocht de Nederlandse overheid dat niet doen, dan moeten burgers, bedrijven en niet-gouvernementele organisaties de overheid in deze vorm van staatscensuur dwarsbomen. Althans, zo schrijven liberale beginselen die op enig moment in de geschiedenis door alle politieke stromingen in de Westerse democratie omarmd werden, voor.
De drogreden die minister Dekker in zijn schrijven aan de Tweede kamer ontvouwde, steunde deels op citaten uit het toezichtkader van de Autoriteit Persoonsgegevens. Derhalve verzoek ik u, in aanvulling op het impliciete verzoek tot een reactie in het schrijven van 20 mei 2019, expliciet om een reactie op het voorstel van de minister voor rechtsbescherming.
Hoewel uw organisatie geacht kan worden te beschikken over voldoende menskracht voor het met onmiddellijke ingang van deze schriftuur, zal ik uw reactie tot 14 juli 2019 afwachten. Mocht u voor deze datum niet hebben gereageerd, dan concludeer ik daaruit dat de Autoriteit Persoonsgegevens niet wenst deel te nemen aan een redelijke analyse van de door wetgeving aan de Autoriteit Persoonsgegevens opgelegde beperkingen en de poging van de minister deze beperking tersluiks te omgaan, en zal de discussie in een ander gremium worden aangegaan.
In afwachting van uw reactie.

Dr. W.W.