Correct aanstellen van een FG

door | dec 9, 2018 | 0 Reacties

Correct aanstellen van een Functionaris Gegevensbescherming. 

‘De verplichte functionaris’

 

Met de invoer van de AVG is het voor een drietal verschillende soorten organisaties verplicht geworden om een FG aan te stellen:

  1. Overheid en publieke organisaties
  2. Organisaties die aan op grote schaal aan profiling of volgen van personen doen
  3. Organisaties die bijzondere persoonsgegevens op grote schaal verwerken

Maar waarom heeft de AVG deze verplichting ingevoerd? Wat doet een FG, om deze verplichting te billijken?

Een Functionaris Gegevensbescherming is een onafhankelijke toezichthouder voor de organisatie op het gebied van privacyzaken. Daarnaast helpt hij de organisatie ook bij het invoeren en naleven van de privacyregels. Deze rol wordt op meerdere manieren ingevuld. Hij doet aanbevelingen tot verbetering, ondersteunt bij werkzaamheden op privacygebied, en is het aanspreekpunt voor alle betrokkenen.

De organisaties die verplicht worden om een FG aan te stellen, hebben een hoog risico op het gebied van privacybescherming. Door een dergelijke persoon verplicht te introduceren bij de bovengenoemde soorten organisaties zou de kwaliteit van privacybescherming sterk kunnen verbeteren. Of dit ook werkelijk gebeurt, hangt natuurlijk af van de kwaliteit van de aangestelde functionaris.

Laten we eens kijken over welke competenties een functionaris gegevensbescherming moet beschikken.

 

Competenties van de FG

Met een FG-cursus van een paar dagen ben je nog niet geschikt om de functie van Functionaris Gegevensbescherming te vervullen.

Een Functionaris Gegevensbescherming moet over kennis en kunde beschikken op de volgende onderwerpen:

  1. Wet en regelgeving, vooral maar niet uitsluitend, betreffende privacy
  2. ICT & Informatiebeveiliging
  3. Risico management
  4. Auditing
  5. Bedrijfsvoering
  6. Communicatie
  7. Consultancy
  8. Public Relations

Weinig mensen zullen expert zijn in alle bovenstaande onderwerpen. Maar een goede FG heeft wel van elk onderwerp voldoende kennis in huis. Waar nodig kan een gebrek aan kennis worden uitbesteed; daarvoor is het natuurlijk essentieël dat je als FG weet waar je beperkingen liggen. Zelfkennis is erg belangrijk.

 

Kennis van wet en regelgeving

Toezicht houden op de privacyregels begint natuurlijk bij het kennen van deze regels en de manier hoe deze praktisch moeten worden ingezet. Juridische kennis vormt daarom vaak het beginpunt van de FG. Het is het onderwerp waarop je in beginsel toezicht op houdt.

 

Informatiebeveiliging

Informatiebeveiliging gaat veel verder dan weten welke virusscanner goed werkt en hoe je een wachtwoord veilig maakt. Het is het geheel van beleid, procedures, checklists, registraties, controles en analyses die worden beheerd volgens een samenhangend plan.

Informatiebeveiliging is een doel om privacybescherming uit te voeren. Privacybescherming volgens de AVG is niet mogelijk zonder informatiebeveiliging (die is dan ook verplicht gesteld in de AVG). Daarom is ook kennis van en ervaring met dit onderwerp voor een FG belangrijk; zonder deze kennis kun je geen toezicht hierop houden of adviezen geven.

 

Risico management

Het managen van risico’s is belangrijk, zowel bij privacybescherming als informatiebeveiliging. Risico management geeft antwoord op vragen als ‘Wanneer neem je welke maatregelen’, en ‘Welk effect moet elke maatregel opleveren?’. Het brengt structuur en prioriteitstelling: besteed eerst aandacht aan de grootste risico’s. Als FG moet je kunnen beoordelen of dit op de juiste manier wordt aangepakt.

 

Auditing

Het toezicht houden moet je uitvoeren op een bepaalde manier. Door dit gestructureerd aan te pakken kun je als FG aantonen dat je onderwerpen niet vergeet, en dat het toezicht grondig wordt uitgevoerd. Daarom is kennis van het uitvoeren van audits noodzakelijk.

 

Bedrijfsvoering

Een FG rapporteert aan de hoogste leiding van een organisatie. Om dit effectief te kunnen doen, moet je als FG wel begrip hebben, met welke uitdagingen een bestuurder dagelijks te maken heeft. Adviezen moeten liggen binnen de grenzen van de organisatie, anders zullen ze zeker worden genegeerd.

 

Communicatie

Als FG word je ingeschakeld om met verschillende partijen te communiceren. De belangrijkste communicatiepartners zijn:

  • Het bestuur en het management
  • Werknemers
  • Betrokkenen (mensen van wie persoonsgegevens worden verwerkt)
  • De Autoriteit Persoonsgegevens
  • Leveranciers
  • Klanten

Met elke partij moet je op de juiste manier en met op het juiste niveau communiceren. Dit vraagt om goede communicatievaardigheden.

 

Consultancy

De Functionaris Gegevensbescherming biedt ondersteuning op een onderwerp waar niet iedereen verstand van heeft, maar vaak ook niet te veel van wil weten. Privacybescherming wordt vaak gezien als een lastige bijkomstigheid, die ook nog veel geld kost. De FG heeft dan de uitdaging de ondersteuning op een dusdanige manier te brengen, dat degene die het advies ontvangt de juiste keuzes maakt.

 

Public Relations

Soms is het nodig om naar buiten te treden als Functionaris Gegevensbescherming over een delicate kwestie. De wijze waarop je dat doet kan grote effecten hebben; betrokkenen kunnen zich meer of minder bechermd voelen door de FG, de Autoriteit Persoonsgegevens kunnen meer of minder maatregelen willen instellen, al naar gelang de woorden van de FG worden gekozen. Een FG mag nooit vergeten welke gevolgen zijn uitingen kunnen hebben.

 

Aanstellen van de FG

Bovenstaande maakt duidelijk, dat niet iedereen geschikt is voor de rol van FG. Er is nog een ander aspect waar rekening mee moet worden gehouden bij de aanstelling.

 

Onverenigbare functies

Van de AVG mag een functionaris gegevensbescherming andere werkzaamheden uitvoeren binnen de organisatie. Zeker voor kleinere organisaties is dat fijn. Maar… de AVG stelt wel als voorwaarde, dat de andere werkzaamheden verenigbaar zijn met de toezichthoudende rol van de FG. Dat betekent, dat er een flink aantal functies niet samen kunnen gaan met de rol van FG.

Directeur, manager ICT of Human Resources, bedrijfsleider… dit zijn juist de functies binnen een organisatie die beleid bepalen, die sturing geven aan de werkzaamheden. De eerste taak van een FG is om te controleren of dit op de juiste manier gebeurt.

Iedereen is het er over eens dat een slager niet zijn eigen vlees mag keuren. Deze uitspraak wordt op allerlei niveau’s gebruikt om aan te geven dat je niet jezelf kunt controleren. Hoe kan het toch, dat er desondanks zoveel directeuren en bedrijfleiders zijn, die zichzelf benoemen tot FG? Of dat er ICT of HR managers worden benoemd tot FG?

Aan het benoemen van een directeur of bedrijfsleider tot FG ligt meestal een financiële overweging ten grondslag. Het is goedkoper als degene die het beleid bepaalt, ook kijkt of het goed wordt uitgevoerd, en of het compliant is aan relevante wet- en regelgeving. De regels van de AVG worden echter ofwel niet goed begrepen, ofwel worden ze bewust niet goed uitgevoerd. In beide situaties is de benoeming onterecht.

Als de directeur of bedrijfsleider, die zeker goed is zijn eigen werk, niet alle benodigde competenties bezit voor het FG-schap, kan dat extra bijdragen aan de onterechte benoeming.

 

Gevaar bij onterechte benoeming

Met de aanstelling van een directeur/bedrijfsleider/etc tot FG lijkt er voldaan te zijn aan de plicht een FG aan te stellen. Die veronderstelling is echter niet correct. Als er echt een probleem komt, waarbij de FG een rol had moeten spelen, en het blijkt dat deze functie wordt uitgevoerd door iemand die dat niet had mogen doen, dan kan de aanstelling ongeldig verklaard worden. En dan heb je vervolgens als organisatie geen FG aangesteld volgens de regels. Je hebt dan niet alleen te maken met het probleem waar je als FG voor zou moeten optreden, maar je blijkt ook nog eens niet te voldoen aan de verplichting een FG aan te stellen.

 

Oplossing voor deze slager en zijn eigen vlees

De beste oplossing in deze situatie, is het veranderen van de oorspronkelijke benoeming tot FG, in een benoeming tot Privacy Officer. De taak van de Privacy Officer is onder andere het opstellen van privacybeleid en het toezien op de uitvoering daarvan door de werknemers. Ook kun je als privacy officer het eerste aanspreekpunt zijn bij klachten op dit onderwerp.

Daarnaast kun je een (eventueel externe) Functionaris Gegevensbescherming inhuren, die toezicht houdt op de privacywerkzaamheden van de Privacy Officer. Het toezicht van de FG kan relatief makkelijk en snel (en daarmee: goedkoop) worden uitgevoerd, er is immers iemand binnen de organisatie die het meeste werk al uitvoert. De FG kan echter wél onafhankelijk controleren of deze Privacy Officer zijn werk goed doet, en daarin adviezen geven.

 

Behoud van regie

Wat is er belangrijker voor een bestuurder/directeur/bedrijfsleider dan het behouden van de eigen regie? Niets. Het mooie is, dat je door het inrichten van de rol van functionaris gegevensbescherming als hier beschreven, jouw regie niet kwijt raakt. Het is zelfs zo, dat een functionaris gegevensbescherming ook geen bindende adviezen kan geven. De bestuurder van een organisatie blijft verantwoordelijk voor de privacy, en mag daarom adviezen van de FG naast zich neerleggen.

 

Meer weten over een FG van AVG Compleet?

Vul hieronder in ieder geval jouw naam en emailadres in, zodat we je vraag kunnen antwoorden.

Wil je liever gebeld worden? Vul dan je telefoonnummer in. Wij gebruiken jouw gegevens alleen maar om jouw vraag te kunnen beantwoorden. Kijk voor meer informatie naar ons privacy statement.

Contactformulier