Onlangs heeft Pels Rijcken drie rondetafelbijeenkomsten georganiseerd om de rol en de functie van de functionaris gegevensbescherming (FG) te bespreken. Tijdens deze gesprekken hebben meer dan veertig FG’s uit verschillende sectoren hun ervaringen gedeeld en nog belangrijker, verbeterpunten besproken.
De gesprekken werden geleid door prof. mr. Gerrit-Jan Zwenne en hadden het karakter van een gemeenschappelijk overleg en soms ook een gezamenlijk klankbord. Dit heeft waardevolle en vaak ook nieuwe inzichten opgeleverd. In dit blogartikel gaan we daarop in.
Onafhankelijkheid van de Functionaris Gegevensbescherming
Het eerste gespreksthema was de onafhankelijkheid van de FG. Dit is bij zowel grote als bij kleine bestuursorganen of organisaties een terugkerend issue. Een groot aantal FG’s geeft aan dat zij het lastig vinden om werkzaamheden in verband met hun toezichtstaken goed te scheiden van allerlei praktische adviesvragen die bij hen worden neergelegd.
Verrassend is dat niet. De AVG is nog maar kort van toepassing. En het is geen uitzondering dat de AVG-kwartiermaker, belast met het implementeren van een organisatiebreed privacybeleid, later als FG geacht wordt te gaan toezichthouden op de naleving van dat beleid.
Behandelen van datalekken
Dat deze scheiding van werkzaamheden aandacht vereist blijkt ook uit de verschillen die tussen bestuursorganen en andere organisaties bestaan bij het behandelen van datalekken. Dat de FG het datalek intern meldt is evident, maar wie neemt de uiteindelijke beslissing om een datalek aan de Autoriteit Persoonsgegevens te melden? Dat hiervoor geen uniforme aanpak bestaat blijkt uit het feit dat in sommige organisaties feitelijk de FG daarover gaat.
Effectief toezicht door FG’s
Het waarborgen van effectief toezicht speelt vooral bij FG’s van grotere bestuursorganen of organisaties waarbinnen toezicht moet plaatsvinden op afzonderlijke onderdelen. Velen geven aan dat toezicht hierdoor nog reactief van aard is. Enkele FG’s geven echter wel aan dat het aanwijzen van privacycontactpersonen een goede eerste stap is. Verder wordt de overtuiging gedeeld dat het bevorderen van privacy awareness binnen de organisatie het meeste resultaat oplevert.
DPO as a Service
In lijn met de problemen die worden ervaren bij het toezicht binnen grotere organisaties wordt met scepsis gekeken naar het fenomeen DPO as a Service. Hierbij kunnen de diensten van een FG op afstand worden gekocht, waardoor één FG soms heel veel organisaties bedient. De meerderheid van de FG’s is van mening dat er richtsnoeren moeten worden opgesteld om te bepalen wat de maximum omvang is van een organisatie die kan worden bediend door één FG (al dan niet op afstand). Een nog onbeantwoorde vraag is wie dat moet doen – de Autoriteit Persoonsgegevens of een beroepsorganisatie voor FG’s?
Kaders voor rolvervulling FG’s
Uit de bijeenkomst bleek dat naast een dergelijk richtsnoer in het algemeen meer behoefte bestaat aan kaders voor de rolvervulling van de FG. Dit zou kunnen in de vorm van een beroepsorganisatie waarbinnen gezamenlijke richtsnoeren worden besproken en opgesteld, maar ook aan centraal georganiseerde en gedegen opleidingen bestaat behoefte.
Rechten van betrokkenen
Het FG-overleg van Pels Rijcken blijkt een geslaagd middel om op basis van gedeelde ervaringen de kennis omtrent de praktijk van de FG te vergroten en daarmee de kwaliteit verder te borgen. Alleen al daarom maken wij van het FG-overleg een terugkerende bijeenkomst. Zo zullen we in het volgende FG-overleg onder meer ingaan op inzage- en andere rechten van betrokkenen.
Wilt u weten wanneer het volgende FG-overleg is? Schrijf u hier in voor de mailinglijst.
