Begin augustus heeft de gemeente Almere laten weten dat zij door de Autoriteit Persoonsgegevens (AP) en de ombudsman ter verantwoording is geroepen in verband met een mogelijke belangenverstrengeling van de Functionaris Gegevensbescherming (FG). Naast het intern toezichthouden op de naleving van de Algemene Verordening Gegevensbescherming (AVG), is de FG van de gemeente tegelijkertijd ook de privacy officer en dus óók betrokken bij het vormgeven en uitvoeren van het privacybeleid. Volgens de AP levert dit een situatie op waarin de slager zijn eigen vlees keurt.
11 september 2023 • Nieuws
De AP tikt gemeenten op de vingers om dubbelrol van de FG
Functionaris Gegevensbescherming vs. Privacy officer
Maar wat is dan precies het verschil tussen een FG en een privacy officer waardoor deze functies niet gecombineerd kunnen worden? Een FG heeft een onafhankelijke positie in de organisatie en mag dan ook geen instructies ontvangen bij de uitvoering van zijn/haar taken. De FG houdt binnen de organisatie toezicht op zowel de toepassing als naleving van de Algemene Verordening Gegevensbescherming. Bovendien is de FG ook het aanspreekpunt voor de AP. Een privacy officer daarentegen is adviserend, ondersteunend én uitvoerend. De privacy officer kan een FG bijstaan in de uitvoering van diens taken maar kan ook zelfstandig vraagstukken afhandelen.
Dubbelrol zorgt voor belangenverstrengeling
De AP heeft aangegeven een mogelijke dubbelrol serieus te nemen omdat deze dubbelrol in de praktijk al snel onhoudbaar en onrechtmatig is. Artikel 39 van de AVG bepaalt immers dat andere taken of plichten van de FG niet mogen leiden tot een belangenconflict. De FG moet in staat zijn taken en verplichtingen onafhankelijk uit te kunnen voeren.
Het is niet de eerste keer dat een gemeente door de AP op het matje wordt geroepen. Eerder dit jaar was eenzelfde situatie aan de hand bij de gemeente Amsterdam. De AP heeft inmiddels op 13 juli jl. een gesprek gevoerd met de gemeente Amsterdam en zal in november een vervolggesprek met de gemeente hebben. De inhoud van deze gesprekken is niet bekend.
Hoe nu verder voor de gemeente Almere?
De AP zal ook met de gemeente Almere in gesprek gaan over de dubbelrol van de FG. Aan de hand daarvan zal de AP bekijken of er verdere stappen nodig zijn. Een datum voor dit gesprek is nog niet bekend. De vragen die de ombudsman en de partij DENK vanuit de gemeenteraad hebben gesteld in verband met deze situatie, zal de gemeente na de zomervakantie beantwoorden.
Is de situatie herkenbaar voor uw organisatie?
Wellicht dat meer organisaties zich in de toekomst moeten verantwoorden bij de AP, zij heeft namelijk aangegeven dat er vaker signalen binnenkomen dat FG’s zich in deze situatie bevinden. Voor veel organisaties is het niet mogelijk om zowel een FG als een privacy officer aan te stellen, wat moet u dan doen als de dubbelrol een probleem wordt? Om de kwaliteit van het privacybeleid binnen uw organisatie te waarborgen is het van belang dat u zowel de taken van een FG als privacy officer laat uitvoeren. Dit kunt u allemaal intern beleggen maar eventueel kunt u dit ook (deels) extern uitbesteden. Zo kunt u naast uw interne privacy officers een externe FG inhuren die onafhankelijk toezicht houdt op de naleving van de AVG. U kunt het ook omdraaien, een vaste FG binnen uw organisatie en u huurt extern een privacy officer in om de uitvoering van de privacy werkzaamheden op zich te nemen.
Twijfelt u over de rol die de FG heeft binnen uw organisatie? Of wilt u bespreken wat wij voor u kunnen betekenen in de oplossing voor deze dubbelrol? Neem dan contact met ons op.
Heeft u vragen naar aanleiding van dit artikel?
Neem dan contact met ons op.
