Het is u vast niet geheel onbekend dat met ingang van 25 mei 2018 de Algemene Verordening Gegevensbescherming (AVG) van toepassing is. Eén van de wijzigingen die deze verordening met zich meebrengt, is dat in bepaalde gevallen een Functionaris voor de Gegevensbescherming (FG) verplicht is. Een FG (ook wel bekend als Data Protection Officer) is een onafhankelijk en deskundig persoon binnen de organisatie met als taak het informeren en adviseren over de omgang met persoonsgegevens. Maar voor wie geldt de verplichting tot het aanstellen van een FG eigenlijk?
Overheidsinstanties en publieke organisaties moeten een Functionaris Gegevensbescherming aanstellen
Onder andere overheidsinstanties en publieke organisaties zijn altijd verplicht om een FG aan te stellen, ongeacht het type persoonsgegevens dat ze verwerken. Het kan dan bijvoorbeeld gaan om de Rijksoverheid, gemeenten of provincies maar ook om zorg- en onderwijsinstellingen. In de AVG wordt geen definitie gegeven van “overheidsinstantie of –orgaan”. De vraag is daarom: valt een school onder een “overheidsinstantie of –orgaan” en moet zij daarom op grond van de AVG verplicht een FG aanstellen?
De Artikel 29-werkgroep heeft een richtlijn gepubliceerd over het aanstellen van een FG. In deze richtlijn wordt voor het begrip “overheidsinstantie of –orgaan” verwezen naar de definitie van “publiekrechtelijke instelling”.
Een publiekrechtelijke instelling is een aanbestedende dienst in de zin van de Aanbestedingsrichtlijn. Op grond van die definitie en bijlage uit deze richtlijn, kan een openbare school worden gekwalificeerd als een aanbestedende dienst als:
- Meer dan de helft van het bestuur van een openbare school wordt benoemd door de overheid (gemeenten hebben veel invloed op deze benoeming).
- Als de financiering van een school voor meer dan de helft van de begroting afkomstig is van de overheid, of als de school voornamelijk op subsidies draait.
Op basis van deze twee criteria kan worden geconcludeerd dat een openbare school een FG nodig heeft, omdat zij een aanbestedende dienst is.
Functionaris Gegevensbescherming verplicht bij stelselmatig observeren en op grote schaal verwerken bijzondere of strafrechtelijke gegevens
Een organisatie is ook verplicht een FG aan te stellen als zij regelmatig en stelselmatig betrokkenen observeren. Scholen voldoen snel aan deze eis, aangezien zij vaak leerlingvolgsystemen gebruiken.
Daarnaast heeft het verwerken van bijzondere en strafrechtelijke gegevens op ‘grote schaal’ ook tot gevolg dat een organisatie een FG moet aanstellen.
Bijzondere persoonsgegevens zijn gegevens die iets zeggen over iemands ras, godsdienst, seksuele leven, politieke opvatting, gezondheid, maar ook genetische gegevens (zoals DNA) en biometrische gegevens (bijvoorbeeld vingerafdrukken). Elke school verwerkt in ieder geval enkele bijzondere persoonsgegevens van leerlingen in een onderwijskundig rapport. Bijvoorbeeld of een leerling ADHD heeft, dyslectisch of depressief is.
Onderwijsinstellingen moeten vrijwel altijd een Functionaris Gegevensbescherming aanstellen
Een school voldoet (in bijna alle gevallen) aan de drie verschillende vereisten om een FG aan te moeten stellen. Let op: het voldoen aan één van de drie vereisten is al genoeg om verplicht een FG aan te moeten stellen. Bij een overkoepelende stichting met 10 basisscholen kan er wel gekozen worden om één interne FG aan te stellen voor alle scholen in plaats van voor elke school apart, mits deze FG vanuit elke school gemakkelijk te benaderen is.
Functionaris Gegevensbescherming opleiden of inhuren?
ICTRecht biedt een tweedaagse juridische opleiding voor Functionarissen Gegevensbescherming (met of zonder juridische achtergrond). Mocht er meteen behoefte zijn aan een deskundige externe Functionaris Gegevensbescherming dan heeft ICTRecht hiervoor specialisten beschikbaar die uw organisatie op afstand of gedetacheerd kunnen ondersteunen.
