36 banken en verzekeraars voldoen niet aan de verplichting van de Algemene verordening gegevensbescherming (AVG) om een privacyfunctionaris aan te stellen en de contactgegevens van hem bekend te maken, zo blijkt uit een controle van de Autoriteit Persoonsgegevens.

Een privacyfunctionaris, ook bekend als Data Protection Officer (DPO) en functionaris voor de gegevensbescherming, houdt binnen organisaties toezicht op de toepassing en naleving van de AVG. Overheidsinstanties en publieke organisaties zijn sinds de invoering van de AVG altijd verplicht om een privacyfunctionaris aan te stellen, ongeacht het type gegevens dat ze verwerken.

Verder moeten privacyproblemen bij de privacyfunctionaris kunnen worden gemeld. Daarom is het nodig dat organisaties contactgegevens van hun privacyfunctionaris op hun website vermelden. Het is verplicht een direct telefoonnummer, e-mailadres, postadres en/of direct aanmeldformulier te vermelden waarmee de privacyfunctionaris is te bereiken. Het is niet noodzakelijk om de naam van de functionaris te vermelden.

Onlangs deed de Autoriteit Persoonsgegevens onderzoek bij 45 banken en 93 verzekeraars of ze over een privacyfunctionaris beschikken en of de contactgegevens op de website staan vermeld. De toezichthouder ontdekte dat 6 banken en 9 verzekeraars geen privacyfunctionaris hebben aangemeld. Deze organisaties hebben nu twee weken de tijd gekregen om hun privacyfunctionaris aan te melden. Wanneer er nog helemaal geen privacyfunctionaris is aangesteld moet dit binnen vier weken zijn gedaan.

Verder vond de Autoriteit Persoonsgegevens bij 7 banken en 14 verzekeraars dat de manier waarop de contactgegevens van de privacyfunctionaris worden gepubliceerd ontoereikend is. Dit moet binnen twee weken zijn verholpen. Eerder voerde de toezichthouder soortgelijke onderzoeken uit bij overheidsinstanties, ziekenhuizen en zorgverzekeraars.