Tegenwoordig zijn veel organisaties verplicht een functionaris gegevensbescherming (FG) aan te stellen, zoals overheden en publieke organisaties. Zij zijn verplicht om dit te doen wanneer ze regelmatig en stelselmatig observaties op grote schaal doet en wanneer ze op grote schaal bijzondere persoonsgegevens verwerken. Dit om toezicht te houden op de toepassing en naleving van de Algemene verordening gegevensbescherming (AVG). Echter blijkt dat de positie van de FG binnen een organisatie na ruim vier jaar AVG nog niet juist geïmplementeerd wordt. Terwijl het onderwerp toch hoog op de agenda staat bij de toezichthouders.
Positionering van de functionaris gegevensbescherming
De AVG is de nieuwe Europese privacywet. Deze wet vereist dat de FG zijn of haar taken onafhankelijk uitoefent. Het is de taak van de verwerker om ervoor te zorgen dat:
- De FG tijdig wordt betrokken
- De FG over voldoende middelen beschikt
- De FG niet beïnvloed wordt bij het uitvoeren van zijn taken
Dit om de onafhankelijke positie van de functionaris gegevensbescherming niet aan te tasten.
De visie van de AP tegenover de FG
Naast de wettelijke bepaling stelt de Autoriteit Persoonsgegevens (AP) ook concrete uitgangspunten op. Aan de hand van een visiedocument uit 2021 heeft de AP de positionering van de FG willen verduidelijken. Echter is dit slechts voor een deel gelukt, omdat het document vooral algemene focusgebieden bevat. Daarnaast herhaalt het vooral de standpunten van de EDPB (European Data Protection Board) uit 2017. Opvallend is dat de AP wel van organisaties verwacht om een concreet beleid vast te stellen. Hierin benoem je de taken die niet te combineren zijn met de functie van de FG. Het visiedocument mist enige verduidelijking met concrete voorbeelden over dit onderwerp.
Onderzoek naar de onafhankelijkheid in de praktijk
Vlak na de intrede van de AVG onderzocht het CIP voor het eerst de invulling van de rol als FG binnen de Nederlandse overheid. Het Centrum Informatiebeveiliging en Privacybescherming (CIP) heeft in 2022 een nieuwe vragenlijst uitgezet, om de ontwikkeling van deze rol in de afgelopen jaren te verduidelijken.
Steeds meer belangenconflicten
Het onderzoek toont aan dat bijna de helft van de respondenten de beschikbare hoeveelheid tijd om de functie van FG uit te oefenen ontoereikend vindt. In 2018 was dit slechts een derde deel. Deze uitkomst wordt bevestigd door het aantal respondenten dat aangeeft belangenconflicten te ervaren of daarover bezorgd te zijn. Dat zijn nu 33% van de respondenten en in 2018 slechts 12%.
Overtreden van de AVG
Ondanks het gebrek aan begeleiding zijn er reeds boetes opgelegd voor de overtreding van de AVG. De bekendste boete, aan telecommaatschappij Proximus, is opgelegd wegens belangenverstrengeling. De functionaris gegevensbescherming was namelijk naast FG ook directeur van verschillende afdelingen. Daarnaast was hij eindverantwoordelijk om beleid op te stellen. De Berlijnse AP heeft recent een boete van € 525.000,- opgelegd wegens dezelfde overtreding.
Handhaving neemt toe
Naar verwachting neemt de handhaving toe. EDPB wil samen met alle nationale autoriteiten een gedeelde visie of actie over de AVG uitbrengen. De Europese toezichthouders, inclusief de AP, worden dit jaar gedwongen om de positionering van de FG hoog in het vaandel te zetten. Organisaties doen er daarom goed aan om de positionering van hun FG te bekritiseren. Hiermee leggen zij namelijk vast hoe de onafhankelijkheid gewaarborgd is.
Leer meer over de FG in de praktijk
Wil jij jouw kennis over de functionaris gegevensbescherming verder ontwikkelen? Meld je dan aan voor de verkorte opleiding Functionaris Gegevensbescherming van SBO! Hier leer je van een ervaren FG hoe je handen en voeten aan de functie geeft en wat jouw valkuilen zijn. De opleiding is praktisch ingestoken en is nuttig voor FG’s/DPO’s in zowel de publieke als private sector. Een opleiding binnen jouw organisatie op maat volgen? Dat kan met onze Incompany-opleidingen! Een bedrijfsopleiding op maat biedt diverse voordelen voor jouw organisatie en de deelnemers, namelijk inhoud op maat, kennisbehoud, kostenefficiëntie en binnen jullie schema. Meer te weten komen over onze bedrijfsopleidingen op maat? Ga dan naar onze website voor meer informatie!