De rol en de positionering van de FG moet beter
Als een onafhankelijke privacy toezichthouder is de FG is een belangrijke schakel in de bescherming van persoonlijke gegevens. Sommige organisaties zijn ook verplicht om een FG aan te stellen—zo zijn er in Nederland momenteel ongeveer 12.000 organisaties met een FG. De positie van de FG binnen deze organisaties is echter niet altijd goed geregeld. Dat blijkt uit het grootschalig onderzoek van de European Data Protection Board (EDPB), waar 17.000 respondenten aan deel hebben genomen (‘Designation and Position of Data Protection Officers’).
De bevindingen uit het onderzoek bevestigen tevens het beeld dat de Autoriteit Persoonsgegevens (AP) in haar dagelijkse praktijk ziet: veel FG’s blijken te worstelen met diverse uitdagingen. Enkele voorbeelden van deze uitdagingen zijn: onafhankelijkheid, onvoldoende (of zelfs geen) contactmogelijkheden met het hoogste management van de organisatie, of onvoldoende informatie en middelen om hun functie goed te kunnen uitoefenen.
Het blijkt dat een groot deel van de FG’s zich niet helemaal onafhankelijk kan opstellen. Ook zijn er veel FG’s die zelden of nooit met het hoogste management van hun organisaties kunnen overleggen, bijvoorbeeld vanwege de grootte van de organisatie en een gebrek aan tijd van de hogere managers voor het overleg met een FG. Een dergelijke organisatie vergeet dat het belang van een onafhankelijk FG-advies juist in de Algemene Verordening Gegevensbescherming wordt benadrukt: ‘de functionaris voor gegevensbescherming brengt rechtstreeks verslag uit aan de hoogste leidinggevende van de verwerkingsverantwoordelijke of de verwerker’, aldus artikel 38 lid 3 van de AVG. De gevolgen van het ontbreken van (tijdig) overleg tussen de FG en het hoogste management kunnen onaanvaardbare privacyrisico’s voor de betrokkenen met zich meebrengen, nu de FG als gevolg daarvan moet adviseren over een beslissing dat al genomen (en soms onomkeerbaar) is. In dat geval is er ook geen sprake van een geïnformeerde beslissing door het management.
De onafhankelijkheid van de FG’s dient versterkt te worden door ervoor te zorgen dat de FG’s toegang krijgen tot de nodige middelen om hun taken effectief uit te kunnen voeren. Organisaties zouden ervoor moeten zorgen dat de FG’s voldoende mogelijkheden, tijd en middelen hebben om hun kennis bij te werken en op de hoogte te blijven van de nieuwe ontwikkelingen. Daarnaast is een tijdig onafhankelijk advies van de FG op het hoogste niveau essentieel om tot geïnformeerde beslissingen te kunnen komen.
Wilt u van gedachten wisselen over de positie van de FG in uw organisatie? Neem dan contact op of bel ons op 033 200 30 83. PrivacyTeam is de externe FG van veel organisaties in de zorg, het onderwijs en in de zakelijke dienstverlening.
Bron: FG-nieuwsbrief 24 januari 2024 | Autoriteit Persoonsgegevens