Straks verplicht privacybewaker aanstellen

Het aanstellen van een functionaris voor de gegevensbescherming – een privacymedewerker – is straks mogelijk verplichte kost. Daarvoor is namelijk Europese wetgeving in de maak. Het is de bedoeling dat organisaties vanaf 2016 een werknemer aanstellen die controleert of de organisatie wel zorgvuldig omgaat met de verwerking van persoonsgegevens.

18 februari 2015 | Door redactie

Veel organisaties verwerken persoonsgegevens. Om de privacy te kunnen waarborgen, regelt de Wet bescherming persoonsgegevens (WBP) hoe organisaties moeten omgaan met persoonlijke informatie van werknemers, klanten, patiënten en relaties. De Europese Algemene verordening gegevensbescherming is een aanvulling hierop. Dit besluit treedt waarschijnlijk per 2016 in werking. Eén van de gevolgen hiervan is dat de werkgever mogelijk een functionaris voor de gegevensbescherming (fg) moet aanstellen. Het plan is om dat in de volgende situaties te verplichten:

  • voor overheidsinstellingen;
  • voor organisaties met minimaal 250 werknemers in dienst;
  • voor organisaties die gegevens verwerken van meer dan 5.000 personen;
  • voor organisaties die bijzondere persoonsgegevens verwerken. Dit zijn persoonsgegevens over iemands godsdienst/levensovertuiging, ras, politieke voorkeur, seksuele leven, gezondheid, lidmaatschap van een vakbond en strafrechtelijk verleden. Dit geldt bijvoorbeeld voor zorgverleners en financiële instellingen.

Op termijn een privacymedewerker aanstellen of omscholen

Als uw organisatie voldoet aan één van de criteria, zal de werkgever dus mogelijk op termijn een privacymedewerker moeten aanstellen of een werknemer hiervoor moeten omscholen. Veel organisaties zijn echter niet op de hoogte van de overheidsplannen of zijn niet voorbereid. Uit een privacyonderzoek (pdf) van Pricewaterhousecoopers (PwC) onder 93 Nederlandse organisaties blijkt dat:

  • 17% een functionaris voor de gegevensbescherming in dienst heeft;
  • 41% van plan is zo’n functionaris in dienst te nemen;
  • 26% niet van de mogelijke verplichting op de hoogte is;
  • 25% een apart privacybeleid hanteert voor de omgang met persoonsgegevens;
  • 30% geen privacybeleid heeft.