Eén van de taken van de Functionaris Gegevensbescherming is die van onafhankelijk toezichthouder. In de praktijk zie ik veel verschillen in de opvattingen over wat goed toezichthouden door de FG betekent. De ene FG heeft bijna meer de rol van Privacy Officer, de ander is alleen maar bezig met onafhankelijk adviezen in de organisatie te parachuteren.
Op zich is dat niet verbazingwekkend: er is weinig guidance voor het toezichthouden door de FG. De AP geeft op haar site wel wat beknopte informatie (1), maar dat gaat hoofdzakelijk over de positie van de FG en zijn taken en rol. Niet hoe je als FG goed toezicht houdt. Ook de European data Protection Board laat het hier een beetje afweten.
Het rapport “Minder last, meer effect” van het Ministerie van Binnenlandse zaken (2) geeft een bruikbare definitie. Toezicht wordt daar beschreven als het proces van het verzamelen van de informatie over de vraag of een handeling of zaak voldoet aan de daaraan gestelde eisen, het zich daarna vormen van een oordeel daarover en het eventueel naar aanleiding daarvan interveniëren.
Toezichthouden bestaat dus uit drie processen:
informatie verzamelen
beoordelen van de verkregen informatie
ingrijpen als het nodig is
Ad 1
Bij het verzamelen van informatie is het belangrijk om dit zelf op te halen. Ga de werkvloer op, voer zelf het gesprek. Laat de collega’s vertellen en demonstreren.
Ad 2
Als je voldoende informatie hebt, ga je deze beoordelen. Hoe verhoudt de praktijk zich tot de gehanteerde criteria. Check eerst of je alle informatie hebt die nodig is voor een oordeel.
Ad 3
De FG zal zelf niet ingrijpen, maar zijn interventie bestaat uit terugkoppeling met verbeterpunten aan de verwerkingsverantwoordelijke.
Deze processen kunnen alleen goed verlopen als de FG onafhankelijk informatie kan verzamelen en daarover een eigen oordeel kan vormen. Die onafhankelijkheid betekent niet dat de FG hier geen verantwoording over af legt. Een goede toezichthouder is transparant: legt uit waarom hij toezicht houdt, maakt de keuzes in het toezicht inzichtelijk en legt zijn afwegingen uit.
Dat vraagt van de FG een balanceer-act. Aan de ene kant betrokkenheid om de activiteiten en processen van de organisatie goed te doorgronden. Aan de andere kant is voldoende afstand noodzakelijk om objectief en kritisch te blijven.
Creëer een gemeenschappelijk beeld
Hebben directie en FG dezelfde beelden waar het hen om te doen is bij de bescherming van persoonsgegevens. Daarbij gaat het om vragen als wat zijn de verwachtingen van de organisatie en wat van de FG, wat is het ambitieniveau van de organisatie, is het duidelijk wie waar verantwoordelijk voor is en waar een gemeenschappelijke verantwoordelijkheid ligt.
Prioriteer in een toezichtplan
Dat gemeenschappelijke beeld is het uitgangspunt voor keuzes die de FG gaat maken voor het toezicht. Effectief en efficiënt inzetten van middelen noodzaakt tot prioritering in het toezicht op basis van risico‘s en kosten/baten. Wat worden de toezichtobjecten? Wat is het doel daarbij?
Ook hier geldt weer dat de FG transparant moet zijn over zijn keuzes en afwegingen in het toezichtplan.
Speel op de bal niet op de man
Toezichthouden betekent af en toe ook zaken signaleren waar misschien niemand op zit te wachten. Zorg er daarom voor dat je kritiek over de inhoud gaat en niet op de persoon is gericht. Formuleer je bevindingen ook positief: in verbeterpunten. Bedenk dat collega’s onbewust onbekwaam kunnen zijn. Leg uit waarom de verbeterpunten, die soms extra werk met zich meebrengen, noodzakelijk zijn.
Check of je bevindingen landen in de organisatie
Een mooi advies met uitstekende bevindingen, is niets waard als het niet landt in de organisatie. Als management/ directie geen herkenning hebben zullen ze er hoogst waarschijnlijk ook niet mee aan de slag gaan. Dan is al je werk voor niets. Vraag daarom op feedback, verwerk dat zonder dat je onafhankelijke oordeel in het geding komt.
Probeer wat te leren van de judosport
Als FG zul je af en toe moeten judoën. Dat lijkt in strijd met tip 3 speel niet op de man, maar wat ik er mee bedoel is dat de principes uit de judo sport kunnen helpen. De essentie van judo is “winnen door toe te geven”. Geef op sommige punten toe, beweeg mee en pak dan de regie weer terug. Judo betekent ook af en toe mee buigen om later resultaat te boeken. In het proces mee bewegen zonder op de inhoud af te doen helpt vaak om je resultaat te behalen.
