Menu

Zoek op
rubriek
Data&Privacyweb
0

Eén ding is zeker: de positionering van de FG staat hoog op de agenda

Na ruim vier jaar AVG blijkt de positie van de functionaris gegevensbescherming (FG) binnen een organisatie in de praktijk nog niet juist geïmplementeerd. Dit terwijl de toezichthouders het onderwerp hoog op de agenda hebben, schrijft Eliëtte Vaal (The Data Lawyers) samen met David Wesselman.

2 jan 2023

Onafhankelijkheid FG

De AVG vereist dat de FG autonoom kan handelen bij de uitoefening van zijn taken. Deze verplichting rust op de verwerker of verwerkingsverantwoordelijke. Die moet ervoor zorgen dat de FG tijdig wordt betrokken, geen instructies krijgt met betrekking tot de uitvoering van zijn taken, over voldoende middelen beschikt en geen taken en plichten vervult die leiden tot een belangenconflict en aantasting van de onafhankelijke positie. De uitleg van de Europese toezichthouders over de invulling van deze onafhankelijkheid dateert uit 2017 (1). Daarin staat dat een FG “geen functie kan bekleden waarbij hij of zij de doelstellingen van en de middelen voor de verwerking van persoonsgegevens moet bepalen”. Functies in het hogere management zijn daarom niet verenigbaar zijn met de onafhankelijke positie van de FG. Of daadwerkelijk sprake is van een belangenconflict moet volgens de toezichthouders van geval tot geval worden beoordeeld. Er wordt verder niet ingegaan op specifieke taken die niet verenigbaar zijn met de uitvoering van de rol van de FG.

Visie AP

De Autoriteit Persoonsgegevens (AP) heeft in 2021 de positionering van de FG willen verduidelijken in een visiedocument (2). Dat is slechts deels gelukt omdat het document vooral algemene uitgangspunten bevat. Daarnaast herhaalt het document vooral de standpunten van de EDPB uit 2017. Zo wordt bijvoorbeeld bevestigd dat de functies hoofd financiën, strategie, marketing, IT, HRM of CISO - wegens operationele verantwoordelijkheid voor gegevensbescherming - niet verenigbaar zijn met de functie van de FG. De AP stelt in het visiedocument wel expliciet dat de FG de organisatie niet in rechte kan vertegenwoordigen. Een echte verduidelijking met concrete voorbeelden over welke andere taken onverenigbaar zijn met de rol van de FG en waar de adviestaak zijn grens vindt, ontbreken. Opvallend is dat de AP in haar recente FG-nieuwsbrief wel van organisaties verwacht dat beleid wordt opgesteld waarin de taken worden benoemd die niet te combineren zijn met de functie van de FG (3).

Onafhankelijkheid in de praktijk

In de praktijk zien we dat veel organisaties de onafhankelijkheid van de FG (nog) niet goed kunnen waarborgen. Uit een recente enquête van het CIP (Centrum Informatiebeveiliging en Privacybescherming) gehouden onder FG’s uit het publieke domein volgt dat FGs in toenemende mate te maken hebben met belangenconflicten. In 2022 zegt 33% van de ondervraagde FGs bezorgd te zijn over een belangenconflict of dat al wel eens ervaren te hebben (zie figuur 1). In 2018 was dit percentage slechts 12%. Ook in onze eigen praktijk zien we vaker terug dat FGs naast hun toezichtstaken ook verantwoordelijkheid dragen voor operationele taken op het gebied van privacy compliance. Dat is bijvoorbeeld het geval als een FG verantwoordelijk is voor het opstellen van beleid, hetgeen zich niet goed verhoudt met de toezichttaak.

Boetes

Ondanks de gebrekkige guidance zijn er reeds boetes opgelegd voor overtreding van artikel 38 AVG. Het bekendste voorbeeld is de boete van de Belgische gegevensbeschermingsautoriteit (de GBA) aan de telecommaatschappij Proximus van EUR 50.000 wegens belangenverstrengeling van de aangestelde FG. De FG was naast FG ook directeur van de afdelingen compliance, risk management en interne audit en eindverantwoordelijk voor het opstellen van beleid. Volgens de GBA was sprake van belangenverstrengeling omdat het niet mogelijk is voor een FG om onafhankelijk toezicht te kunnen uitoefenen op de afdelingen waarvoor de FG zelf als hoofd verantwoordelijk voor is. Dit leidde volgens de GBA per definitie tot een belangenconflict. Het feit dat de afdelingen compliance, risk en audit slechts een adviserende functie hadden, deed daar volgens de GBA niet aan af. Recent heeft ook de Berlijnse AP bekend gemaakt dat zij aan een e-commerce bedrijf een boete heeft opgelegd van EUR 525.000 wegens belangenverstrengeling van de FG (5). Binnen dit bedrijf vervulde de FG tegelijkertijd de rol van managing director van twee gelieerde bedrijven die als ‘verwerker’ voor de verwerkingsverantwoordelijke optraden en waarop toezicht moest worden gehouden.

Nieuwe actie toezichthouders

Naar verwachting zal de handhaving toenemen. Onlangs kondigde de EDPB aan dat de gecoördineerde actie van 2023 zich richt op de aanwijzing en rol van de FG (6). Een gecoördineerde actie is een bevoegdheid van de EDPB om samen met alle nationale autoriteiten een gedeelde visie of actie uit te brengen over een onderwerp met betrekking tot de AVG. Het doel is dat de nationale autoriteiten het gekozen onderwerp prioriteren en dat wordt samengewerkt voor effectieve handhaving. Welke bevoegdheden de toezichthouders zullen inzetten voor dit onderwerp valt te bezien. Vast staat dat de Europese toezichthouders, inclusief de AP, dit jaar gedwongen zijn om de positionering van de FG hoog op de agenda te zetten. Organisaties doen er daarom goed aan om de positionering van hun FG kritisch te beoordelen en vast te leggen hoe de onafhankelijkheid gewaarborgd is. Aanvullende richtsnoeren op dit punt van de AP zijn wat ons betreft zeer welkom.

  1. https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp243_rev01_enpdf_0.pdf

  2. https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/positionering_van_de_fg.pdf

  3. https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/nieuwsbrief_voor_de_fg_1_november_2022.pdf

  4. https://cdn1.dpia.nu/uploads/Editor/20220913-fg-enquete-cip.pdf

  5. https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2022/20220920-BlnBDI-PM-Bussgeld-DSB.pdf

  6. https://edpb.europa.eu/news/news/2022/edpb-adopts-statement-european-police-cooperation-code-picks-topic-next-coordinated_en

Artikel delen

Reacties

Laat een reactie achter

U moet ingelogd zijn om een reactie te plaatsen.