De positionering van de Functionaris voor Gegevensbescherming (FG) binnen het Three Lines Model geeft aanleiding tot enige beschouwingen ten aanzien van de borging van de autonomie en onafhankelijkheid van de FG.
Het Three Lines Model is een organisatiemodel waarmee een organisatie in control is op haar processen op basis van risicomanagement. Nog even los van de vraag of de borging van privacy en het naleven van de AVG en andere privacywetgeving te vangen is in risicomodellen, immers de “riskapetite” zou 0 moeten zijn op het onrechtmatig verwerken van persoonsgegevens, kleeft er een aantal overwegingen aan het plaatsen van de FG in dit organisatiemodel.
Vaak wordt de FG namelijk ten onrechte gepositioneerd binnen de tweede lijn van de three lines. Dit kan vragen oproepen met betrekking tot die borging van de autonomie en onafhankelijkheid.
Hierna volgend wordt een aantal positieve aspecten en een aantal uitdagingen van deze positionering uiteengezet.
Positief: samenwerking en proactieve advisering.
Positionering in de tweede lijn plaatst de FG in een nauwe samenwerkingspositie met het management en werknemers. Zo dicht bij de dagelijkse bedrijfsvoering geeft de FG de mogelijkheid proactief advies te geven en direct in te spelen op gegevensbeschermingskwesties.
Positief: advisering op maat door kennis van de organisatie.
Als onderdeel van de tweede lijn, is het mogelijk een goed begrip van de organisatie, de processen en de risico’s te krijgen. Dit bevordert effectieve begeleiding en maakt het mogelijk om advies op maat te geven dat aansluit bij de specifieke behoeften van de organisatie.
Uitdaging: onafhankelijk en autonomie
Eén van de kritieke uitdagingen van de tweede lijnspositionering, is het behouden van de onafhankelijkheid van de FG.
De FG is primair in de organisatie aanwezig om toezicht te houden op de (naleving van de) privacywetgeving en het daaruit voortvloeiende normenkader.
Om effectief toezicht te houden, moet de FG in staat zijn om autonome beslissingen te nemen en zelfstandig de naleving van de AVG te evalueren, zonder beïnvloeding vanuit de eerste lijn.
Uitdaging: belangenconflict
In de tweede lijn kan de FG geconfronteerd worden met conflicten tussen het bieden van ondersteuning aan de organisatie en het handhaven van naleving van gegevensbeschermingsnormen.
Zoals hierboven benoemd is de FG ‘’in dienst van de privacywetgeving”. Dit is anders voor de privacy officer die is aangesteld om de organisatie te helpen, de voor de organisatie de beste oplossingen te vinden voor de inrichting van de gegevensbescherming.
Een FG gepositioneerd in de tweede lijn, in het model dus als adviseur van de organisatie, kan te maken krijgen met dilemma’s bij het nemen van beslissingen die in het belang van de organisatie zijn, maar niet in het belang van privacyborging.
Ten aanzien van de risico’s van de bedreiging van de onafhankelijkheid en autonomie en de mogelijke belangenverstrengeling door de plaatsing van de FG in de tweede lijn kan, nee moet, voor onafhankelijke positionering, ingericht worden dat de FG een rechtstreekse rapportagemogelijkheid heeft aan het hoogste leidinggevende niveau van de organisatie.
Maatregelen worden ingericht. Dit zal ook (beleidsmatig) vastgelegd moeten worden in de documenten die de organisatie van privacy binnen de organisatie constitueren.
Ook kan periodieke interne en externe getoetst worden of de FG effectief en de toezichthoudende taken onafhankelijk en onbevooroordeeld de toezichthoudende taken kan uitvoeren of uitvoert.
Maar vooral en bovendien is het van belang dat een stevige, professionele privacy officer naast de FG staat: deze kan handen en voeten geven aan het organiseren van privacy binnen de organisatie. Immers deze heeft niet de toezichthoudende taak en maakt, bij een goede samenwerking, het voor de FG mogelijk, de toezichthoudende taak onafhankelijk vorm te geven. Bij nauw contact zal ook de proactieve, adviserende taak van de FG ingevuld kunnen worden.
In de positionering van de FG in het Three Lines Model moet rekening gehouden worden met de taakomvatting van de FG, wettelijk en als beschreven door gezaghebbende instanties. Het is essentieel om een balans te vinden tussen nauwe samenwerking met de organisatie en het handhaven van de onafhankelijkheid om effectief toezicht te kunnen houden. Hierin is de inrichting van een goede privacyorganisatie waarin een dedicated privacy officer aanwezig is van doorslaggevend belang.
Zorgvuldige overweging van alternatieven en continue evaluatie van de rol van de FG zijn van cruciaal belang om een evenwichtige en effectieve gegevensbescherming te borgen.
De plaatsing in de tweede lijn biedt mogelijkheden, maar beter is nog dat de FG in de derde, of buiten alle lijnen wordt geplaatst.
Opdat de interne toezichthouder, de FG, zonder dat het voor de organisatie voelt alsof de FG buiten de (organisatie)lijnen kleurt, een eigen lijn trekt, namelijk die van de bescherming van betrokkenen, zicht op gegevensbescherming en borging van privacy.
