Themaoverzicht

CAO & Juridische Zaken

Arbeidszaken

Sociaal Werk Nederland onderhandelt namens de leden met de vakbonden over de CAO Welzijn & Maatschappelijke Dienstverlening. Doel daarbij is een cao af te sluiten die een aantrekkelijk en betaalbaar instrument is voor het arbeidsvoorwaardenbeleid binnen organisaties zelf. De cao moet een weerspiegeling zijn van de stevige en duidelijke positie die de branche op de arbeidsmarkt inneemt. Leden met een abonnement op Juridische Zaken Online kunnen vragen stellen over de cao W&MD en arbeidswetgeving.

Blog

‘Licht in de duisternis: wel of geen Functionaris voor Gegevensbescherming?

Deze blog is geschreven door mr Marius van Rijswijk van Verdonck, Klooster en Associates.

Dé grote hamvraag van dit moment: moet mijn organisatie wél of géén Functionaris voor Gegevensbescherming (FG) aanstellen? Vanuit het juridisch kader lijkt het antwoord eenvoudig. In de praktijk blijkt dit toch nog vaak vragen op te roepen. Met enige regelmaat steekt ook het gerucht, dat een FG verplicht is bij 250 medewerkers, de kop op. Tijd om wat licht in de duisternis te brengen!

De Algemene Verordening Gegevensbescherming (AVG) verplicht organisaties in drie situaties een FG aan te stellen. Kort samengevat moet een organisatie een FG aanstellen als; 1) het een overheidsorganisatie of -orgaan is, 2) de organisatie belast is met verwerkingen van gegevens die regelmatige en systematische observatie van betrokkenen vereisen of 3) het verwerken van bijzondere persoonsgegevens de kernactiviteit van de organisatie is. In de praktijk hoor ik vaak nog een vierde situatie; de FG is verplicht bij 250 medewerkers of meer. Dit klopt niet. De AVG kent geen cijfermatige criteria voor het aanstellen van een FG. Het aantal medewerkers van een organisatie staat dus los van de eventuele verplichting een FG aan te stellen. Dit is dus een hardnekkig gerucht. Dit gerucht is waarschijnlijk ontstaan omdat er in de conceptversies van de AVG wél een getalsmatig criterium stond.

De FG is een onafhankelijk en deskundig persoon binnen (intern of extern) de organisatie met als taak toezicht houden op de toepassing en naleving van privacywetgeving. De AVG  stelt een aantal eisen aan de positie, taken en verantwoordelijkheden van de FG. Sociaalwerkorganisaties doen er dan ook verstandig aan om de volgende vraag te beantwoorden: moet de organisatie een FG aanstellen?

Voor sociaalwerkorganisaties geldt eigenlijk uitsluitend situatie 3. Van de eerste twee situaties is in deze sector geen sprake. De centrale vraag die vervolgens beantwoord moet worden is dan ook: verwerkt mijn organisatie op grote schaal bijzondere persoonsgegevens en betreft dit een kernactiviteit?

Sociaalwerkorganisaties verwerken vaak medische gegevens, welke gezien moeten worden als bijzondere persoonsgegevens. Denk aan de registratie van psychosociale problemen en stoornissen, gedragsproblemen, opvoedingsproblemen, somatische, verstandelijke, lichamelijke of zintuiglijke beperking enzovoort, in het dossier. Betreft het verwerken van deze ‘bijzondere persoonsgegevens’ dan ook de ‘kerntaak’ van de organisatie? De kerntaak van bijvoorbeeld een ziekenhuis is het bieden van gezondheidszorg. Een ziekenhuis kan namelijk uitsluitend veilige en effectieve gezondheidszorg bieden als zij medische gegevens, zoals de medische dossiers van patiënten, verwerkt. Daarom zal het verwerken van deze bijzondere persoonsgegevens gezien moeten worden als één van de kerntaken van een ziekenhuis. Dit standpunt kan vaak ook worden toegepast op sociaalwerkorganisaties. Uiteraard hangt dit van de specifieke situatie af. Deze dienstverlening is, zonder de verwerking van medische gegevens, immers ondenkbaar.

Nu blijft alleen nog de vraag over of er binnen de organisatie sprake is van ‘grootschalige verwerking’. Helaas geeft de AVG geen exacte cijfers over wat er onder ‘grootschalig’ wordt verstaan. Zijn dat de gegevens van 100 cliënten of van 10.000? Om te bepalen of verwerking op grote schaal plaatsvindt zijn factoren als het aantal betrokkenen, de hoeveelheid gegevens, de duur van de verwerking en de geografische reikwijdte, van belang.

Of u als sociaalwerkorganisatie een FG moet aanstellen hangt dus vooral af van de vraag of er sprake is van grootschalige verwerking. Hoewel de kans een aanzienlijke is dat u als sociaalwerkorganisatie voldoet aan de criteria uit de AVG, is er ook een groot grijs gebied. Mocht u als organisatie besloten hebben dat een FG voor de organisatie niet verplicht is, zorg dan dat u wel kunt verantwoorden waarom u daarvoor hebt gekozen. De aanbeveling luidt dan wel om iemand binnen de organisatie verantwoordelijk te maken voor privacy. Het profiel van deze rol kan dan erg lijken op die van de verplichte FG, maar u hebt zelf meer invloed op de daadwerkelijke invulling van de rol. Zorg dat u kunt verantwoorden waarom u in die situatie kiest voor juist wel of geen formele FG rol.

Overigens biedt de AVG onder voorwaarden ook de ruimte om één FG te benoemen die voor meerdere sociaalwerkaanbieders als de functionaris optreedt. Dit is interessant omdat daarmee een aanzienlijke kostenbesparing mogelijk is. 

Wat fijn dat je jouw bijdrage wilt geven! Om dat te doen dien je eerst in te loggen.

Heb je nog geen profiel? Registreer dan eerst om een nieuw profiel aan te maken.
Functie(s): Community manager
Organisatie: Sociaal Werk Nederland
CAO & Juridische Zaken
Ik wil delen
Home
Wie we zijn
Wat doen we
Actueel
Thema'sVraag & AntwoordPoll Inloggen
Ik wil delen:
Sluiten