Functionaris gegevensbescherming die ook de privacy regelt: zegen of valkuil?

Een Functionaris Gegevensbescherming (FG) heeft volgens de AVG binnen een organisatie vooral een onafhankelijke en ondersteunende rol. De FG ziet toe op hoe er met persoonsgegevens wordt omgegaan en adviseert de organisatie om dit op een goede en zorgvuldige manier te doen. Daarbij is de FG niet degene die de besluiten neemt, maar juist degene die adviseert, objectief blijft en meekijkt of de afspraken worden nageleefd. Zo fungeert de FG als een soort sparringpartner en toezichthouder tegelijk: nauw in contact met de organisatie, maar met voldoende afstand om eerlijk en kritisch te kunnen blijven. 

Een (te) veelvoorkomende situatie is dat de Functionaris Gegevensbescherming (FG) de enige privacy-expert in een organisatie is. Dat klinkt logisch (“je hebt toch iemand aangewezen?”), maar juíst dan kunnen er problemen ontstaan. 

Allereerst kan de wettelijk verplichte functiescheiding in gevaar komen. Als de FG zelf uitvoerend bezig is, bijvoorbeeld door privacy-processen in te regelen of documenten op te stellen, dan is diegene niet meer onafhankelijk. Ondanks dat het eigenlijk niet mag, voelt een FG zich toch vaak moreel verplicht om te helpen, aangezien de organisatie concrete hulpvragen heeft. Hierdoor wordt het vrijwel onmogelijk om nog eerlijk en objectief toezicht te houden op hetzelfde werk, waardoor de FG de wettelijke taken niet goed kan uitvoeren.  

 De belangrijkste oorzaak hiervan is dat er vaak te weinig kennis in huis is. Een FG kan en mag niet zelf alle taken dragen, zoals privacy inbouwen in processen, of het uitvoeren van maatregelen uit DPIA’s. Zonder extra expertise en betrokkenheid vanuit de organisatie blijft privacy een losstaand thema in plaats van iets dat in alle lagen en alle teams wordt meegenomen. 

Een ander risico is dat de organisatie nooit een realistisch beeld krijgt van hoe volwassen ze écht zijn op het gebied van privacy. Als de FG geen uitvoerende taken heeft maar wel de enige AVG-kenner is, dan zit de FG op een te grote afstand om goed de praktijk te toetsen. De FG levert wel een jaarverslag uit over de staat van de privacy, maar er bestaat een blinde vlek door te weinig informatie, waardoor risico’s en verbeterpunten te laat boven water komen.  

En uiteindelijk zijn de betrokkenen hiervan het meest de dupe: de mensen van wie de gegevens worden verwerkt. Patiënten, leerlingen, studenten, burgers én interne/externe medewerkers lopen allemaal meer risico dat hun privacy niet goed beschermd is, simpelweg omdat er te weinig kennis en toezicht aanwezig is. 

Kortom, wanneer de FG als enige privacy-expert werkzaam is voor de organisatie, dan kan dat leiden tot ethische problemen rondom de functiescheiding en toezichthoudende rol, tot organisatorische problemen qua inregelen van privacy en uiteindelijk tot juridische problemen in de vorm van AVG-non-compliance en boetes van de Autoriteit Persoonsgegevens.  

De oplossing lijkt simpel: meer capaciteit. Gewoon een paar FTE aanstellen en dan komt het wel goed. Toch is de realiteit dat er vaak weinig budget is om te investeren in privacy. Als er vervolgens ook nergens een rapport of stuk ligt dat aangeeft hoe de AVG-compliance ervoor staat, dan mist ook de urgentie om er budget voor vrij te maken.  

Maar alleen extra handen of FTE’s zijn niet automatisch de sleutel. Zelfs als er extra capaciteit komt, loop je alsnog tegen problemen aan wanneer niet van tevoren is uitgedacht en vastgelegd hoe je die extra capaciteit wil invullen. Een privacy-jurist is bijvoorbeeld sterk in de wet, maar meestal geen verandermanager. En iemand die een AVG-organisatie kan opzetten en inrichten, heeft vaak geen diepgaande juridische kennis. Het gaat dus niet alleen om het aantal mensen of uren, maar vooral om de juiste mix van vaardigheden en belegde werkzaamheden. Pas dan kan de FG echt onafhankelijk blijven en krijgt de organisatie een stevige basis om privacy duurzaam te borgen. 

Een FG kan niet alles alleen, maar hoe kan je in een andere functie toch een rol spelen? In eerste instantie kun je, ongeacht je rol, signaleren en aankaarten dat zaken niet goed geregeld zijn, of navraag doen naar beleid of jaarrapporten over privacy.  

 In het werk kun je ook kleine dingen doen om je meer met privacy bezig te houden. Enkele praktische tips: 

• Functioneel Beheerders: Let bij systeemaanpassingen op of persoonsgegevens écht nodig zijn en of autorisaties goed zijn ingericht. Vraag naar beleid omtrent privacy en controleer of jouw werkzaamheden daaraan voldoen. Controleer of gebruikers alleen bij écht noodzakelijke gegevens kunnen (en ga hierover in gesprek). 
• Informatiemanagers: Neem privacy standaard mee in projectplannen (Privacy by Default) en zorg dat nieuwe systemen voldoen aan de AVG (Privacy by Design). Hiervoor zijn online bronnen vindbaar om te ondersteunen.   
• ISO’s: Koppel informatiebeveiliging en privacy aan elkaar, zodat maatregelen elkaar versterken en geen losse eilanden worden. Maak privacy een deelgebied binnen informatiebeveiliging en toets of de risico’s voldoende worden beperkt.