5 jaar geleden werd een grote groep mensen in Nederland waanzinnig machtig, althans op papier. Een toezichthoudende functie waar jij als specialist direct onder het hoogste bestuur valt binnen je organisatie en je geniet van ontslagbescherming. Oftewel de Functionaris Gegevensbescherming (FG) Nu 5 jaar later zie je toch ook wel de nadelen van hoe destijds mensen deze functie hebben gekregen. Het is een belangrijke functie die helaas niet altijd serieus wordt genomen, maar er zijn scenario’s waarbij minder gekwalificeerd FG’s een grote impact hebben op de organisatie. De kwaliteit van FG’s en eigenlijk privacy professionals in zijn geheel lopen wel fors uiteen. Kan het nationale register hierbij helpen?
In de praktijk blijkt het inhoudelijke niveau en de positionering van de duizenden FG’s in Nederland nogal uiteen te lopen. Dit is iets dat ik in de praktijk ook merk. Zo heb ik met diverse FG’s moeten werken zowel als interne toezichthouder of met een FG van een andere organisatie. Verder heb ik ook vaker FG’s mogen opleiden tijdens één van mijn trainingen. Het verschil is echt wel zichtbaar en dat kan een probleem zijn. Een FG kan immers zwaar de toon zetten intern over hoe men omgaat of kijkt naar het thema privacy.
Wat je ziet is dat 5 jaar geleden mensen de rol van FG hebben gekregen zonder een helder beeld te hebben wat van hun werd gevraagd. Dat is overigens niet de FG zelf aan te rekenen, maar eerder de organisatie. We kennen vast de volgende verhalen uit 2018. “Jij bent toch jurist? Kun je even 4 uur per week die FG rol pakken?” “Natuurlijk!” Of: “Je bent al CISO dus doe even die FG rol erbij. Is toch bijna hetzelfde”. “Geen probleem!” Maar toch is dit wel een probleem merk ik ook in de praktijk. Een FG rol is niet niks. Zo zie je steeds meer verhalen dat organisaties en FG’s op een niet prettige manier uit elkaar gaan. Is dat door een matige kwaliteit van de FG of is de FG juist te goed en te kritisch voor de organisatie. Dat eerste is lastig te onderbouwen dus er een moet een soort norm komen.
Om de kwaliteit van de FG’s en daarmee het toezicht op de verwerking van persoonsgegevens te versterken wil de Rijksoverheid toewerken naar een landelijk register (1). Het Centrum Informatiebeveiliging en Privacybescherming werd begin 2023 gevraagd om een verkenning uit te voeren naar de wenselijkheid en haalbaarheid van zo’n openbaar register.
Inmiddels is genoemde verkenning afgerond. Een openbaar register voor erkende FG’s kan bijdragen aan de beoogde kwalitatieve impuls, bleek uit de verkenning. Daarover is met een groep van verschillende soorten belanghebbenden (stakeholders) in de publieke en private sector persoonlijk gesproken en is gekeken naar wat andere landen in Europa op dit terrein hebben gedaan. Dat laatste lijkt helaas niet veel te zijn althans ik heb het nergens kunnen vinden.
Het is mooi om te zien dat er nu concreet stappen genomen gaan worden. Dat roept wel een aantal vragen bij mij op:
- Wie bepaalt de norm wanneer een FG goed werk verricht?
- Is dit register straks ook leidend voor de profit sector?
- Heb je een minimale werkervaring nodig uit dezelfde sector?
- Moet men steeds studiepunten halen?
- Zijn er periodiek examens of audits om kwaliteit te garanderen?
Het is nog niet zo makkelijk, maar er zijn genoeg beroepsgroepen waarin dit goed geregeld is zoals bij advocaten en mediators dus waarom niet voor FG’s. Ik vraag mij wel af of dit register niet breder getrokken moet worden. Waarom niet privacy professionals in de breedste zin in plaats van puur FG’s? Maar ja, je moet ergens beginnen.
Het komende jaar wordt gewerkt aan de praktische kant van zo’n register. Zo moet er goed worden gekeken naar zaken als toetsingscriteria en -procedure, voorwaarden voor toelating tot het register, adequate bescherming van de gegevens in het register en dergelijke. Je wilt immers niet de privacy van FG’s schenden met zo’n register. Het is de verwachting en intentie om in de loop van 2024 te kunnen komen tot de concrete oprichting van het Nationaal Register voor FG’s (NRFG). Het ministerie van Justitie en Veiligheid is de opdrachtgever en neemt het serieus. Het is nog de vraag of er niet na de verkiezingen andere prioriteiten gaan komen, maar laten vooralsnog uitgaan van het positieve.
Of het nou een top of flop wordt, hangt af van de uitvoering. Wel ben ik over het algemeen positief over het idee. Natuurlijk zijn er risico’s, maar dat er iets moet gebeuren om de kwaliteit van onze FG (en privacy professionals) te borgen is essentieel in mijn ogen. Organisaties lopen te vaak onnodig vertraging op door een toezichthouder die alleen maar “nee” zit te roepen. Dat kan niet. De balans tussen toezichthouder en adviseur met de juiste expertise is cruciaal voor ons vakgebied. Ik ben benieuwd wat ik volgend jaar rond deze tijd kan schrijven over het register.
Hoe kijk jij naar het idee?
(1) https://www.digitaleoverheid.nl/nieuws/voortgang-register-voor-fgs/.
