Wettelijk gezien zijn Nederlandse woningcorporaties niet verplicht een Functionaris Gegevensbescherming (FG) aan te stellen. Een gek idee volgens sommigen, omdat corporaties wel worden gezien als instellingen die een publieke taak uitvoeren. In dit artikel analyseren we de huidige discussie.
Wanneer is een FG verplicht?
Artikel 37 van de AVG verplicht specifiek overheden, publieke organisaties, organisaties die regelmatig en stelselmatig observaties uitvoeren en organisaties die op grote schaal bijzondere persoonsgegevens verwerken tot het aanstellen van een FG. Daarbij wordt aangegeven dat de nationale wetgeving gevolgd dient te worden om te bepalen wanneer dit het geval is en een FG dus verplicht is.
Organisatie van openbaar belang
Vanaf 1 januari 2020 zullen woningcorporaties met 5000 of meer verhuurbare eenheden (VHE) kwalificeren als organisaties van openbaar belang (OOB). OOB’s zijn organisaties van groot maatschappelijk belang en/of organisaties gefinancierd met publiek geld. Hiermee komen grote corporaties in het rijtje van beursgenoteerde ondernemingen, banken en verzekeraars te staan. Men zou verwachten dat woningcorporaties hiermee misschien onder publieke organisaties komen te vallen, welke door de AVG verplicht worden gesteld een FG te benoemen. Echter, een status als OOB betekent in dit geval vooral dat de wettelijke eisen aan accountantscontroles toenemen. Het levert geen status van bestuursorgaan op en dus ook geen verplichting tot het aanstellen van de FG.
Aanbestedingsplicht
Er is een discussie gaande tussen Europa en Nederland over de aanbestedingsplicht van woningcorporaties. Europa vindt namelijk dat woningcorporaties kwalificeren als publiekrechtelijke organisaties, net als zorg- en onderwijsinstellingen, en dus moeten aanbesteden. Dit zou ook direct tot gevolg hebben dat corporaties verplicht zijn een FG aan te stellen. Nederland vindt dat corporaties niet aanbestedingsplichtig horen te zijn, en stelt daarmee een FG dus niet verplicht.
De European Data Protection Board (EDPB) is het samenwerkingsverband tussen alle nationale privacywaakhonden van AVG-landen. In 2016 publiceerde de EDPB richtlijnen voor FG’s. Hierin staat beschreven dat onder andere sociale huisvesting wordt gezien als een privaatrechtelijke organisatie die een publieke taak uitvoert, en dus niet FG-plichtig is.
Niet verplicht
De FG voor woningcorporaties is dus niet verplicht. Echter, de Autoriteit Persoonsgegevens (AP) geeft aan dat de FG niet alleen een ‘goede praktijk’, maar ook ‘vooral aan te raden’ is voor sociale verhuurders. Bovendien zien we een verschuiving: de AP verplicht de FG niet enkel voor ‘bestuursorganen’ maar ook voor ‘publieke organisaties’ zoals zorg- en onderwijsinstellingen. In combinatie met de kwalificatie als OOB en de Europese commissie die de aanbestedingsplicht voor woningcorporaties noodzakelijk acht, wordt de druk op de ketel geleidelijk verhoogd.
Project naar programma
Nu bij veel woningcorporaties het privacy project afloopt en dit over gaat in een programma als onderdeel van de dagelijkse bedrijfsvoering, is het moment aangebroken om de overstap naar de ‘goede praktijk’ van de FG te overwegen. Met de beweging die gaande is, zowel qua compliance binnen corporaties als op Nederlands en Europees niveau, bent u met de aanstelling van een FG de praktijk een stap voor. Bovendien helpt het aanstellen van een FG met de overgang van project naar programma, omdat u zo iemand aanwijst die de controle over uw privacyprogramma kan handhaven. Samen sparren? Neem eens contact op! Meer lezen over de privacy-rollen die organisaties kunnen aanwijzen? Kijk dan eens hier.