Ga naar de inhoud
7 februari 2024 • Nieuws

Wat kunt u leren van de onderzoeken naar de positie van de FG?

De afgelopen tijd zijn er verschillende resultaten van (Europese) onderzoeken gepubliceerd naar de positie en de effectiviteit van de Functionaris Gegevensbescherming (FG). Uit de bevindingen komt naar voren dat FG’s van organisaties nog niet in alle gevallen voldoende onafhankelijk en doeltreffend zijn in hun taakuitvoering. Daarnaast hebben FG’s nog niet altijd voldoende middelen voorhanden om hun wettelijke taken uit te voeren. De onderzoeken bieden waardevolle inzichten ten aanzien van waar u met uw organisatie op moet letten bij het aanstellen van een FG. In dit artikel bespreken wij de bevindingen in meer detail en geven wij praktische tips voor uw organisatie bij het aanstellen van een FG.

DMCC Group - Consultancy

Wat doet een FG?

Een FG houdt binnen een organisatie toezicht op de toepassing en naleving van de Algemene Verordening Gegevensbescherming (AVG). Dat doet een FG hoofdzakelijk door de organisatie te informeren en adviseren op het gebied van de AVG, bijvoorbeeld bij het uitvoeren van DPIA’s en het vaststellen van beleid. De FG fungeert daarnaast als contactpunt voor de toezichthoudende autoriteit.

Het aanstellen van een FG is in bepaalde gevallen verplicht, namelijk wanneer de organisatie een overheidsorganisatie is of wanneer de organisatie op grote schaal persoonsgegevens verwerkt. Ook wanneer het niet verplicht is, kunnen organisaties vrijwillig een FG aanstellen.

De positie van de FG staat vaak onder druk

In 2023 is er een zogeheten “Coordinated Enforcement Action” uitgevoerd door de EDPB in samenwerking met de nationale toezichthouders. Hierbij hebben 25 toezichthouders gezamenlijk onderzoek gedaan naar de rol van de FG binnen organisaties, waarbij onder andere enquêtes zijn verstuurd naar organisaties om vragen te stellen over de positie en het functioneren van de FG binnen de organisatie. Daarnaast heeft ook de EDPS (de toezichthouder op naleving van de privacy wetgeving door de Europese instellingen) gekeken naar de positie van de FG bij Europese instellingen.

Uit beide onderzoeken blijkt dat de positie van de FG nog niet in alle gevallen voldoet aan de wettelijke vereisten. Daarbij komen de volgende bevindingen naar voren:

  • Verplichte aanstelling: het allereerste punt dat de EDPB aanstipt, is dat nog niet in alle gevallen waarbij aanwijzing van een FG verplicht is, ook daadwerkelijk een FG is aangesteld.
  • Onafhankelijkheid: in de onderzoeken komt bovendien een ander belangrijk thema naar voren, namelijk dat de organisatie moet garanderen dat de FG voldoende onafhankelijk zijn of haar taken kan uitoefenen. De EDPB benadrukt dat de FG vrij moet zijn van instructies met betrekking tot de uitoefening van zijn of haar taken om effectief toezicht te kunnen houden op de naleving van de AVG. Daarnaast mag de FG geen instructies ontvangen of ontslagen of gestraft worden voor de uitvoering van zijn of haar taken.
  • Tegengaan belangenverstrengeling: daarbij benadrukken de onderzoeken ook het belang van het tegengaan van belangenverstrengeling tussen de rol van de FG en andere rollen van dezelfde medewerker.
  • Ondersteuning en betrokkenheid management: daarnaast kwam in de onderzoeken naar voren dat de FG soms nog onvoldoende wordt betrokken bij privacy gerelateerde vraagstukken binnen de organisatie. In het verlengde hiervan blijkt uit de onderzoeken dat de verplichting om aan het hoogste management te adviseren, in de praktijk nog niet altijd voldoende is ingericht.
  • Tijd en middelen: ook geeft de EDPB aan dat er in veel gevallen nog steeds te weinig middelen voor de FG beschikbaar zijn. Het gaat dan bijvoorbeeld om onvoldoende tijd, onvoldoende ondersteuning van de functie van de FG door het hogere management, onvoldoende financiële middelen, infrastructuur en personeel of toegang tot informatie.
  • Kennis en capaciteiten: tot slot hebben FG’s niet in alle gevallen voldoende kennis op het gebied van de relevante regelgeving. Het is van cruciaal belang dat de FG over de nodige kennis en capaciteiten beschikt om zijn rol effectief te vervullen.

Praktische tips bij het aanstellen van een FG

Wat betekenen bovenstaande bevindingen voor uw organisatie? Waar moet u op letten als u een FG wilt aanstellen (of dat al hebt gedaan)?

  • Zorg ervoor dat u een FG aanstelt, wanneer dat verplicht is.
  • Zorg ervoor dat de FG voldoende onafhankelijk kan werken en leg dit vast in uw beleid en/of de functieomschrijving van de FG.
  • Betrek uw FG tijdig en volledig bij privacy gerelateerde vraagstukken binnen uw organisatie. Zorg ervoor dat bij het introduceren van een nieuw project, verwerking of technologie altijd privacy advies wordt ingewonnen en leg dit vast. Het vragen van privacy advies kunt u bijvoorbeeld opnemen als verplicht onderdeel in een projectplan of change request.
  • Zorg ervoor dat er voldoende aandacht is voor (het advies van) uw FG vanuit het hoger management. Zorg er bijvoorbeeld voor dat de FG regelmatig wordt uitgenodigd voor vergaderingen van het hoger management, dat alle relevante informatie beschikbaar is en dat de mening van de FG naar behoren in overweging wordt genomen.
  • Zorg ervoor dat er voldoende tijd en middelen beschikbaar zijn voor uw FG.
  • Zorg ervoor dat uw FG voldoende kennis en capaciteiten heeft op het gebied van de relevante regelgeving.

Wilt u weten of uw organisatie een FG moet aanstellen of twijfelt u of uw FG voldoende effectief te werk kan gaan? Of bent u op zoek naar een externe onafhankelijk FG? Dan staan wij voor u klaar. Neem gerust contact met ons op voor advies.

Later deze maand, in deel 2, gaan we in op de positie en taakuitoefening van de FG bij overheidsinstellingen en geven we ook enkele voorbeelden uit de praktijk waarbij de rol van de FG voor een organisatie relevant was.


Heeft u vragen naar aanleiding van dit artikel?

Neem dan contact met ons op.