Door de AVG (Algemene Verordening Gegevensbescherming) zijn organisaties (soms) verplicht om een Functionaris Gegevensbescherming (FG) of Data Protection Officer (DPO) aan te stellen. Deze is onafhankelijk, houdt toezicht en geeft advies op het gebied van de verwerking van persoonsgegevens. Vaak wordt deze functie uit praktische overwegingen gecombineerd met een andere functie, zoals CISO, legal counsel of een managementtaak. Door deze combinatie van functies kan er belangenverstrengeling optreden. Omdat de FG door het dragen van deze dubbele pet niet altijd onafhankelijk zijn werk kan doen, waarschuwt de Autoriteit Persoonsgegevens (AP) voor het risico op belangenverstrengeling. De AP gaat daarom in 2025 handhaven. Wat deze handhaving inhoudt en hoe BDO hierbij kan helpen, zetten wij hieronder uiteen.
Sinds de invoering van de AVG hebben veel organisaties een FG aangesteld. In bepaalde gevallen is dit verplicht, bijvoorbeeld bij overheidsinstanties, wanneer de organisatie stelselmatig personen observeert op grote schaal (bijvoorbeeld bij scholen) of wanneer grootschalig bijzondere persoonsgegevens worden verwerkt (zoals bij zorginstellingen of de politie). Daarnaast kan een organisatie vrijwillig een FG aanstellen.
De FG heeft als taak om onafhankelijk toezicht te houden binnen de organisatie. De organisatie moet dit actief faciliteren. Enerzijds moet de FG informeren en adviseren over de AVG en de naleving daarvan. FG’s zijn vaak ‘het’ privacy aanspreekpunt binnen de organisatie. Anderzijds verstrekken zij advies, werken samen met en zijn contactpunt voor de toezichthouder (zoals de AP). De AP en de European Data Protection Board (het AVG-adviesorgaan op Europees niveau) hebben eerder al kaders opgesteld hoe de functie van FG vormgegeven moet worden.
Ondanks bovenstaande kaders zie de AP in de praktijk regelmatig zorgwekkende combinaties van functies voorkomen, waarbij de FG niet onafhankelijk is. De AP ziet met name de volgende twee problematische situaties:
De FG bepaalt in de andere rol (mede) het doel van en de middelen voor de verwerking van de persoonsgegevens. Dit risico is met name hoog wanneer de FG-functie gecombineerd wordt met een managementfunctie die uit besluitvorming of meebepalen bestaat.
De FG verwerkt in een andere rol persoonsgegevens of verricht werkzaamheden op privacyvlak. Dit is het geval bij functies zoals Privacy Officer (PO), Chief Information Security Officer (CISO), Compliance Officer of een andere functie die zelf persoonsgegevens verwerkt.
Het combineren van zo’n rol leidt tot toezicht op het eigen werk, oftewel: de slager keurt zijn eigen vlees.
Bovenstaande situaties zijn onwenselijk volgens de AP en in 2025 zal zij hier verder op handhaven. Aangekondigde acties zijn een publicatie waarin deze problematiek wordt toegelicht en aandringen dat de European Data Protection Board in de nieuwe richtlijnen belangenverstrengeling benoemt. Buiten deze ‘papieren’ acties, komt de AP bij mogelijke belangenconflicten in actie. FG’s kunnen schriftelijke vragen verwachten waarbij ze de onafhankelijkheid van hun functie dienen toe te lichten. Ook kan de organisatie zelf uitgenodigd worden voor een zogeheten normoverdragend gesprek, waarin de AP normen voor de rol en positie van de FG toelicht. Onderneemt de verwerkingsverantwoordelijke daarna geen actie om het belangenconflict op te lossen? Dan kan de AP bestuurlijke sancties opleggen, zoals het opleggen van een boete of het doen van onderzoek en deze met naam en toenaam publiceren.
Organisaties met een FG-functie doen er verstandig aan om deze onder de loep te nemen. Vermoedt u een belangenverstrengeling? Scheid de functies of schakel hulp in van een externe en/of interim FG. Hierbij wordt de onafhankelijkheid zo goed als mogelijk gewaarborgd. Heeft u behoefte aan meer informatie? Onze privacyspecialisten helpen u graag verder. U kunt hiervoor contact opnemen via het contactformulier op onze website.
1 Positionering van de FG.
2 Guidelines van de European Data Protection Board (EDPB)
