SBO Blog Het blog van Studiecentrum voor Bedrijf en Overheid
Organisaties willen AVG-proof werken, maar verliezen vaak speelruimte door hardnekkige mythes. Volgens Sergej Katus is het de taak van de functionaris gegevensbescherming om richting te geven, misverstanden te ontkrachten en kansen te zien. “De AVG is geen ‘kan-niet-mag-niet’-wet. Het is de wet op de menselijke maatvoering”, zegt hij.
De rol van de functionaris gegevensbescherming binnen de AVG
Een FG organiseert niet de hele privacyhuishouding. “De FG is de grensrechter-coach”, legt Katus uit. “De organisatie moet zélf de bedrijfsvoering op orde hebben, net als bij financiën. De FG houdt toezicht op naleving van de AVG en aanpalende wetgeving”. Die toezichtstaak reikt verder dan alleen de AVG. “Het gaat ook over de Uitvoeringswet AVG, cybersecurity, de Data Governance Act en – afhankelijk van de context – sectorale wetgeving”, zegt hij. Daardoor kleurt de FG-rol per organisatie anders. Een gemeente, universiteit of commerciële opleider heeft dezelfde spelregels, maar andere risico’s en accenten.
AVG biedt meer ruimte dan organisaties vaak denken
Sergej gebruikt een eenvoudige metafoor: het sportveld. “Je mag het hele veld benutten. In Nederland reduceren we het soms tot de middenstip en zeggen we: het mag niet van de AVG. Dat is onzin”. Het uitgangspunt is normaliteit en proportionaliteit. “Denk na: hoort deze verwerking bij ons doel en doen we het maatschappelijk verantwoord? Dan kan er veel”. Een tweede beeld dat blijft hangen: de wasserette. “Je kunt zelf de was doen of uitbesteden. Dan maak je regieafspraken: geen rode sok bij de witte was, gebruik een antivirusscanner – dat soort dingen”, zegt Katus. Het punt: verwerkersafspraken zijn regieafspraken binnen een bestaande contractrelatie. “Je inkoopcontract ís de verwerkersovereenkomst, mits je die afspraken goed borgt”.
Kansen benutten: van AVG-proof werken naar verantwoord innoveren
Wie de ruimte op het sportveld benut, ziet direct kansen. “Vaak heb je géén toestemming nodig als je data op een legitieme manier verwerkt”, zegt Sergej. “Lees de AVG beter: het is niet de wet die alles verbiedt, het is de wet die je verplicht om het goed te doen”. Voorbeeld: doelbinding met gezond verstand. “Gegevens voor een primair doel kun je in bepaalde gevallen hergebruiken voor een verwant doel. Het is flauwekul om vandaag gegevens te vernietigen die je morgen opnieuw moet uitvragen. Dat is klantonvriendelijker én risicovoller”. Data is een asset – mits je die verantwoord inzet. “Je komt pas tot scoren als je het hele veld benut”. Let wel: andere wetten kunnen grenzen stellen aan wat je vervolgens doet met die informatie. “De e-privacyregels en anti-spamwetgeving bepalen bijvoorbeeld of je iemand mag benaderen”. zegt Katus. “Maar dat is iets anders dan of je data mag verwerken. Haal die lagen niet door elkaar”.
Hardnekkige mythes over de AVG ontkracht
- Toestemming is altijd verplicht: Dat is niet waar. “Vaak is toestemming helemaal niet nodig”, zegt Katus. Kies de juiste grondslag en borg proportionaliteit.
- Iedere docent of externe is verwerker: “Nee. Een docent doceert; hij verwerkt niet ‘als dienst’ voor jou. Dat is geen verwerker. Salesforce of Microsoft 365, dát zijn verwerkers”.
- Je móét altijd een aparte verwerkersovereenkomst sluiten: “Je inkoopcontract is de verwerkersovereenkomst, mits je de juiste regieafspraken opneemt”.
- De AVG is privacy: Onjuist. Het woord privacy komt niet eens in de wetsartikelen voor. “De AVG beschermt mensen bij de verwerking van persoonsgegevens”, legt Katus uit. “Het gaat om álle grondrechten, vastgelegd in het Europees Handvest. Privacy (bescherming van de persoonlijke levenssfeer) is daar één van, maar er zijn er 150 in totaal: veiligheid, onderwijs, gezondheid. De AVG is dus een grondrechtenwet en veel breder dan een privacywet”.
Deze misverstanden kosten tijd, geld en vertrouwen. “Organisaties creëren zélf administratieve ballast doordat ze mythes naleven. Dat is niet wat er in de wet staat”.
De relatie tussen AI Act en AVG voor de FG
De relatie is helder: zodra AI iets doet met persoonsgegevens, is de AVG van toepassing en dus ook het toezicht van de FG. “AI is slimme informatietechnologie, tandwielen die draaien op data”, zegt Katus. “Als die radarwerken niet goed zijn afgesteld, komt er ‘shit’ uit en krijgen mensen daar last van. Dát is waar de AVG tegen beschermt”. Werkt AI met niet-persoonsgegevens (denk aan meteorologische data), dan is de FG niet aan zet. Maar in veel praktijksituaties grijpen AI-risico’s en AVG-risico’s direct in elkaar: profilering, bias, uitlegbaarheid en passende waarborgen. De vertaling naar de praktijk loopt via bekende AVG-instrumenten: risicobeoordeling en DPIA. “Je traint de organisatie om een soort milieueffectrapportage of gezondheidstoets voor data te maken: wat doen we, hoe kan het misgaan, en welke maatregelen nemen we?”.
De rol van de FG inzichtelijk
De wasserette is een herkenbare casus voor iedereen die met verwerkers werkt. Je huurt een partij in, maar jij blijft regisseur. “Zorg dat je afspraken maakt die het risico verminderen: geen rode sok bij de witte was”, aldus Katus. Vertaal dat naar IT en data: segmentatie, toegangsbeheer, logging, encryptie en heldere rolverdeling. Zo houd je controle, zonder het veld te verkleinen. Het sportveld helpt bestuurders: verbeelden waar de lijnen liggen, waarom spelen bij de cornervlag ook fair play is en wanneer je zelfs met je tenen op de lijn nog een ingooi mag doen. Het resultaat: minder reflexmatig ‘nee’, meer doordacht ‘ja, mits’.
Professionalisering en internationale perspectieven op de FG
Katus ziet beweging: “Er is nu een FG-register (NRFG). Het idee is laagdrempelig starten en de tegels later aanhalen met kwaliteitseisen, tuchtrecht en mogelijk accreditatie van opleidingen”. Het vak vraagt duidelijkheid in rolopvatting. “De organisatie wijst een FG aan, maar snapt die rol vaak niet. En soms snapt de FG zelf niet dat hij de ‘accountant’ is”. Die rol krijgt in andere landen ook andere accenten. “In het Pools heet de FG de inspecteur voor gegevensbescherming, in het Zweeds de ombudsman en in het Duits of Frans eerder de commissaris. Elk woord legt een ander accent”, aldus Katus. “Het Nederlandse ‘functionaris’ klinkt misschien wat saai en ambtelijk, maar benadrukt wel de onafhankelijkheid van de rol”.
Maak ruimte voor innovatie binnen de AVG
Een functionaris gegevensbescherming die het hele veld ziet, helpt organisaties AVG-proof én toekomstbestendig werken. Door mythes te doorbreken, de juiste regie te voeren op verwerkers en AI met verstand te borgen, ontstaat ruimte voor verantwoorde innovatie. Wie hierin wil groeien, kan deelnemen aan de opleiding Functionaris Gegevensbescherming. Je werkt met realistische casussen, krijgt concrete tools zoals het AVG-kompas, oefent met DPIA’s en leert hoe je als FG effectief invloed uitoefent. Zo maak je van ‘kan niet’ een onderbouwd ‘ja, mits’. Wil je meer weten over het programma? Vraag dan de brochure aan. De opleiding is ook op maat te volgen met jouw team. Kies dan voor een Incompany-traject.
