In het kader van de AVG, compliance en governance is het een belangrijk persoon in je bedrijf of organisatie: de functionaris gegevensbescherming (FG). Maar de positie van deze interne privacytoezichthouders is op veel werkplekken nog niet goed geregeld, blijkt uit onderzoek van de Europese privacytoezichthouders. Het rapport biedt aanknopingspunten.
Uit een EU-breed onderzoek naar de positie en het functioneren van de FG in zowel overheidsorganisaties als bedrijven komt naar voren dat een groot deel van de FG’s zich niet voldoende onafhankelijk kan opstellen. En er is onvoldoende de mogelijkheid om signalen van mogelijke privacyovertredingen direct bij het hoogste management kenbaar te maken.
Bestuurders blijken dus vaak niet zo ontvankelijk voor misstanden op privacygebied. Aan de andere kant, en dat doet wat paradoxaal aan, geeft het merendeel van de FG’s aan dat zij hun werk desondanks goed kunnen uitvoeren. Ze zeggen over voldoende kennis, vaardigheden en middelen te beschikken. Daarnaast kunnen ze hun taken naar behoren uitvoeren, zonder dat van hogerhand wordt bepaald wat te doen.
Katja Mur, bestuurslid bij de Autoriteit Persoonsgegevens (AP), maakt het nog maar eens duidelijk: voor de privacytoezichthouder is de functionaris gegevensbescherming belangrijk. “Ik zie ze echt als partners in crime. We zijn echt heel blij met hen”, zei Mur woensdag op de Nationale Privacy Conferentie 2024, georganiseerd door Stichting Privacy First en ECP “Het is een relatief jonge beroepsgroep, in die zin dat deze functie nog niet lang bestaat. We werken hard aan professionalisering.”
De beroepsgroep kwam op na inwerkingtreding van de AVG in 2018. In Nederland zijn er zo’n 10.000 functionarissen gegevensbescherming en die hebben een speciaal lijntje met de AP. Als een organisatie een FG aanstelt – bij grote (overheids)organisaties is zo’n aanstelling verplicht - moet die bij de nationale privacytoezichthouder worden aangemeld. FG’s houden binnen een organisatie onafhankelijk toezicht op naleving van de privacyregels en moeten datalekken melden bij de AP. Maar hoewel ze dus een belangrijke positie hebben, blijkt hun functie niet altijd uitvoerbaar.
Het onderzoeksrapport geeft aanbevelingen om de onafhankelijkheid van FG’s te versterken en te garanderen dat zij over de benodigde middelen beschikken om hun taken uit te voeren. Organisaties moeten ervoor zorgen dat FG’s voldoende kansen, tijd en middelen hebben om hun kennis op te frissen en op de hoogte te blijven van de nieuwste ontwikkelingen – hoewel dus veel functionarissen al aangeven dat dit redelijk goed gaat. De privacytoezichthouders kunnen meer doen aan bewustwording binnen organisaties. Maar ook handhaven bij overtredingen is en blijft belangrijk.
Volgens Mur moeten we vooral denken in mogelijkheden in plaats van wat er niet kan, als we het hebben over de versterking van de FG. Ze benadrukte op de conferentie in de aanloop naar de Dag van de Privacy op 28 januari dat er een Nationaal Register functionaris gegevensbescherming in de maak is. In dat openbare register worden erkende FG’s opgenomen, waarbij het uiteraard de bedoeling is om hun privacy voldoende te waarborgen. Met zo’n register moet de beroepsgroep een kwalitatieve impuls krijgen en verder professionaliseren. En dat is ook weer in het belang van werkgevers, burgers en de privacyprofessional zelf.
Hoe we dit nationale register moeten beoordelen, lees je in deze beschouwing van Kenneth Sleijpen, die regelmatig schrijft voor PONT | Data&Privacy: het Nationaal Register Functionaris Regeringsbescherming: top of flop?
En wil je een relevante cursus volgen? Kijk dan eens naar deze cursus en schrijf je in! https://www.berghauserpontacademy.nl/aanbod/cl3998/inzage-en-verwijderverzoeken/
