Vanuitgaande van een vuistregel zouden in Duitsland ongeveer 364.000 ondernemingen een functionaris voor gegevensbescherming in hun bedrijf bij de autoriteiten moeten melden. Volgens een evaluatie van ER Secure doet slechts ongeveer een op de drie bedrijven dat.
De Algemene Verordening Gegevensbescherming van de EU is vaak het onderwerp van flauwe grappen: of visitekaartjes eigenlijk wel kunnen worden uitgewisseld zonder dat er verklaringen over gegevensbescherming worden afgelegd. Of de naam op de deurbel geschreven kan worden, in hoeverre een Whatsapp-groep legaal is bij projectwerk of dat de namen en voorkeuren van vaste klanten daadwerkelijk onthouden kunnen worden in de slagerij.
Ondervraagd door de autoriteiten
Uit een onderzoek in opdracht van databeschermingsspecialist ER Secure is nu gebleken dat slechts zo’n 30 procent van de bedrijven heeft voldaan aan de verplichting om een functionaris voor gegevensbescherming in te lichten sinds de GDPR in mei van kracht werd. Daartoe werden 16 bevoegde overheidsinstanties ondervraagd. Maar hoe komt dat cijfer van 30 procent tot stand? De auteurs van de studie kunnen immers niet weten hoeveel bedrijven in Duitsland verplicht zijn te rapporteren om tot een aandeel van 30 procent van deze basiswaarde te komen.
De vuistregel
Voor dit doel werd een vuistregel gebruikt die stelt dat bedrijven een functionaris voor gegevensbescherming moeten aanstellen als ten minste tien werknemers, ongeacht hun arbeidsverhouding, regelmatig met persoonsgegevens omgaan. Volgens Statista zijn dat in Duitsland ongeveer 364.000 bedrijven. 108.000 hebben een functionaris voor gegevensbescherming geregistreerd, d.w.z. slechts ongeveer een derde.
De vuistregel heeft echter zijn grenzen: Ongeacht hun aantal werknemers hebben alle bedrijven volgens artikel 37 van de GDPR ook een functionaris voor gegevensbescherming nodig wanneer persoonsgegevens automatisch worden verwerkt – zoals e-mailadressen van klanten. Ook bedrijven in de gezondheidssector, waar bijzonder gevoelige informatie wordt verzameld, hebben in elk geval een functionaris voor gegevensbescherming nodig die toeziet op de behandeling van deze bijzonder gevoelige gegevens. Dit heeft de neiging de basiswaarde te verhogen, waardoor een nog kleiner deel van de meldingsplichtige ondernemingen aan hun meldingsplicht heeft voldaan.
Belangenconflicten?
Volgens ER Secure is het ook relevant of zich belangenconflicten voordoen voor een interne werknemer. Tegen deze achtergrond is het in veel ondernemingen zinvol een externe functionaris voor gegevensbescherming aan te stellen. Functionarissen voor gegevensbescherming – zowel interne als externe – moeten bij de toezichthoudende autoriteit worden gemeld. Hun contactgegevens moeten ook op de website van het bedrijf worden gepubliceerd – bijvoorbeeld als onderdeel van het privacybeleid.
Complexe wetgeving
“We constateren een voortdurende onzekerheid bij veel bedrijven,” zegt René Rautenberg, algemeen directeur van ER Secure. Velen, zegt hij, hebben gewoon geen zicht op de vraag of zij een functionaris voor gegevensbescherming nodig hebben in verhouding tot de omvang van hun bedrijf en het doel ervan. “Velen weten niet dat er ook in de vroegere rechtssituatie al een verplichting bestond om een functionaris voor gegevensbescherming aan te stellen (§ 4f BDSG),” voegt de gegevensbeschermingsdeskundige eraan toe. “Er zijn nog steeds duidelijke leemten in de tenuitvoerlegging van de GDPR in het dagelijks leven. Tegelijkertijd hebben de autoriteiten hun personeel uitgebreid”, aldus Rautenberg. Volgens hem zullen de autoriteiten nu achtereenvolgens en volgens prioriteit gevolg geven aan alle klachten die hen hebben bereikt. Zoals ook uit de enquête blijkt, ziet 60 procent van de ondervraagde gegevensbeschermingsautoriteiten in de deelstaten in het vierde kwartaal van 2018 een constant hoge trend in het aantal vragen en klachten. 20 procent van de ondervraagden voorspelt daarentegen een aanzienlijke stijging.