Menu

Filter op
content
PONT Data&Privacy
  • PONT home
    • molen

    0

    Eén ding is zeker: de positionering van de FG staat hoog op de agenda

    Na ruim vier jaar AVG blijkt de positie van de functionaris gegevensbescherming (FG) binnen een organisatie in de praktijk nog niet juist geïmplementeerd. Dit terwijl de toezichthouders het onderwerp hoog op de agenda hebben, schrijft Eliëtte Vaal (The Data Lawyers) samen met David Wesselman.

    Eliëtte Vaal

    2 januari 2023

    Blog

    Blog
     

    Onafhankelijkheid FG

    De AVG vereist dat de FG autonoom kan handelen bij de uitoefening van zijn taken. Deze verplichting rust op de verwerker of verwerkingsverantwoordelijke. Die moet ervoor zorgen dat de FG tijdig wordt betrokken, geen instructies krijgt met betrekking tot de uitvoering van zijn taken, over voldoende middelen beschikt en geen taken en plichten vervult die leiden tot een belangenconflict en aantasting van de onafhankelijke positie. De uitleg van de Europese toezichthouders over de invulling van deze onafhankelijkheid dateert uit 2017 (1). Daarin staat dat een FG “geen functie kan bekleden waarbij hij of zij de doelstellingen van en de middelen voor de verwerking van persoonsgegevens moet bepalen”. Functies in het hogere management zijn daarom niet verenigbaar zijn met de onafhankelijke positie van de FG. Of daadwerkelijk sprake is van een belangenconflict moet volgens de toezichthouders van geval tot geval worden beoordeeld. Er wordt verder niet ingegaan op specifieke taken die niet verenigbaar zijn met de uitvoering van de rol van de FG.

    Visie AP

    De Autoriteit Persoonsgegevens (AP) heeft in 2021 de positionering van de FG willen verduidelijken in een visiedocument (2). Dat is slechts deels gelukt omdat het document vooral algemene uitgangspunten bevat. Daarnaast herhaalt het document vooral de standpunten van de EDPB uit 2017. Zo wordt bijvoorbeeld bevestigd dat de functies hoofd financiën, strategie, marketing, IT, HRM of CISO - wegens operationele verantwoordelijkheid voor gegevensbescherming - niet verenigbaar zijn met de functie van de FG. De AP stelt in het visiedocument wel expliciet dat de FG de organisatie niet in rechte kan vertegenwoordigen. Een echte verduidelijking met concrete voorbeelden over welke andere taken onverenigbaar zijn met de rol van de FG en waar de adviestaak zijn grens vindt, ontbreken. Opvallend is dat de AP in haar recente FG-nieuwsbrief wel van organisaties verwacht dat beleid wordt opgesteld waarin de taken worden benoemd die niet te combineren zijn met de functie van de FG (3).

    Onafhankelijkheid in de praktijk

    In de praktijk zien we dat veel organisaties de onafhankelijkheid van de FG (nog) niet goed kunnen waarborgen. Uit een recente enquête van het CIP (Centrum Informatiebeveiliging en Privacybescherming) gehouden onder FG’s uit het publieke domein volgt dat FGs in toenemende mate te maken hebben met belangenconflicten. In 2022 zegt 33% van de ondervraagde FGs bezorgd te zijn over een belangenconflict of dat al wel eens ervaren te hebben (zie figuur 1). In 2018 was dit percentage slechts 12%. Ook in onze eigen praktijk zien we vaker terug dat FGs naast hun toezichtstaken ook verantwoordelijkheid dragen voor operationele taken op het gebied van privacy compliance. Dat is bijvoorbeeld het geval als een FG verantwoordelijk is voor het opstellen van beleid, hetgeen zich niet goed verhoudt met de toezichttaak.

    Boetes

    Ondanks de gebrekkige guidance zijn er reeds boetes opgelegd voor overtreding van artikel 38 AVG. Het bekendste voorbeeld is de boete van de Belgische gegevensbeschermingsautoriteit (de GBA) aan de telecommaatschappij Proximus van EUR 50.000 wegens belangenverstrengeling van de aangestelde FG. De FG was naast FG ook directeur van de afdelingen compliance, risk management en interne audit en eindverantwoordelijk voor het opstellen van beleid. Volgens de GBA was sprake van belangenverstrengeling omdat het niet mogelijk is voor een FG om onafhankelijk toezicht te kunnen uitoefenen op de afdelingen waarvoor de FG zelf als hoofd verantwoordelijk voor is. Dit leidde volgens de GBA per definitie tot een belangenconflict. Het feit dat de afdelingen compliance, risk en audit slechts een adviserende functie hadden, deed daar volgens de GBA niet aan af. Recent heeft ook de Berlijnse AP bekend gemaakt dat zij aan een e-commerce bedrijf een boete heeft opgelegd van EUR 525.000 wegens belangenverstrengeling van de FG (5). Binnen dit bedrijf vervulde de FG tegelijkertijd de rol van managing director van twee gelieerde bedrijven die als ‘verwerker’ voor de verwerkingsverantwoordelijke optraden en waarop toezicht moest worden gehouden.

    Nieuwe actie toezichthouders

    Naar verwachting zal de handhaving toenemen. Onlangs kondigde de EDPB aan dat de gecoördineerde actie van 2023 zich richt op de aanwijzing en rol van de FG (6). Een gecoördineerde actie is een bevoegdheid van de EDPB om samen met alle nationale autoriteiten een gedeelde visie of actie uit te brengen over een onderwerp met betrekking tot de AVG. Het doel is dat de nationale autoriteiten het gekozen onderwerp prioriteren en dat wordt samengewerkt voor effectieve handhaving. Welke bevoegdheden de toezichthouders zullen inzetten voor dit onderwerp valt te bezien. Vast staat dat de Europese toezichthouders, inclusief de AP, dit jaar gedwongen zijn om de positionering van de FG hoog op de agenda te zetten. Organisaties doen er daarom goed aan om de positionering van hun FG kritisch te beoordelen en vast te leggen hoe de onafhankelijkheid gewaarborgd is. Aanvullende richtsnoeren op dit punt van de AP zijn wat ons betreft zeer welkom.

    1. https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp243_rev01_enpdf_0.pdf

    2. https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/positionering_van_de_fg.pdf

    3. https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/nieuwsbrief_voor_de_fg_1_november_2022.pdf

    4. https://cdn1.dpia.nu/uploads/Editor/20220913-fg-enquete-cip.pdf

    5. https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2022/20220920-BlnBDI-PM-Bussgeld-DSB.pdf

    6. https://edpb.europa.eu/news/news/2022/edpb-adopts-statement-european-police-cooperation-code-picks-topic-next-coordinated_en

    The Data Lawyers

    Artikel delen

    Reacties

    MEER REACTIES

    Laat een reactie achter

    U moet ingelogd zijn om een reactie te plaatsen.

    NIEUWS

    Nieuwe prioriteiten EDPB bekend

    Nieuws-persbericht

    IT-geschil? Vergeet mediation niet

    Blog

    Kritieke kwetsbaarheid ontdekt in Palo Alto PAN-OS

    Nieuws-persbericht

    Cybercheck voor risico’s in supply chain

    Nieuws-persbericht

    De Cybercheck geeft organisaties tips om ‘supply chains’ (productieketens) in kaart te brengen. Vervolgens wordt gekeken of er risico is op cyberaanvallen of spionage. Het gaat...

    MIVD: Meer Russische cyberaanvallen op Nederland

    Nieuws-persbericht

    Open brief: Besluit van de Europese Commissie om gegevensstromen naar Israël toe te staan, baart privacydeskundigen zorgen

    Artikelen

    Partnership Worldline en RiskQuest moet leiden tot ‘best-in-class’ kredietanalyseprocessen

    Nieuws-persbericht

    Nederlanders moeten digitale vaardigheden verbeteren

    Nieuws-persbericht

    Digitaal weerbaar: “Medewerkers als sterkste schakel”

    Nieuws-persbericht
    Digitale Overheid

    E-cursus DPIA en DPIA-praktijkdag

    Met dit cursuspakket voer jij binnenkort een DPIA uit binnen jouw organisatie. Verkrijg een volledig theoretisch en juridisch beeld van DPIA’s tijdens de e-learning DPIA. Tijdens de DPIA-praktijkdag gaan we oefenen met het uitvoeren van DPIA’s.

    Bekijk programma

    DPIA-praktijkdag

    Samen met docenten van de cursus het volledige DPIA-proces doorlopen en diverse praktische DPIA-modellen behandelen. Zo wordt DPIA onderdeel van het privacy risicomanagement.

    Bekijk programma

    Handboek DPIA’s

    Bekijk boek

    E-cursus DPIA

    Na voltooiing van de e-learning DPIA heb je een compleet beeld van het theoretisch en juridisch kader van DPIA’s. Alle facetten komen aan bod, waaronder: wanneer een DPIA verplicht is, wat de inhoudelijke vereisten zijn en welke normen en regels er gelden voor DPIA’s. Je krijgt ook uitleg over praktische DPIA modellen.

    Bekijk programma

    Cursus: Inzage- en verwijderverzoeken

    In deze cursus wordt eerst kort ingegaan op de verschillende soorten privacyrechten: hoe herken je deze en hoe kun je ze van elkaar onderscheiden. Vervolgens wordt met name dieper ingegaan op inzage- en verwijderverzoeken. Hoe handel je inzage – en verwijderverzoeken goed en zorgvuldig af? Tijdens deze cursus krijg je handvatten geboden voor het efficiënt en compliant beoordelen en afhandelen van privacyverzoeken, met veel voorbeelden uit de praktijk

    Meer informatie

    Word lid van PONT | Data & Privacy

  • Toegang tot Kennisbank
  • Lees e-books
  • Contact met vakgenoten
  • Eigen nieuwsoverzicht
    • WORD LID

    Algemeen

    Service

    Navigeer

    Berghauser Pont Mediagroep

    CONTACT

    𝕏

    Copyright 2024 Berghauser Pont | Website gemaakt door Buro Zero