Waarom is een onafhankelijke FG essentieel voor overheidsorganisaties?

In de huidige digitale samenleving staat de bescherming van persoonsgegevens centraal, vooral binnen overheidsorganisaties die een breed scala aan gevoelige informatie verwerken. Dit verklaart meteen ook de noodzaak voor een onafhankelijke Functionaris voor Gegevensbescherming (FG). Des te meer omdat de Autoriteit Persoonsgegevens (AP) hier strikt op toeziet bij overheidsinstanties, misschen wel strenger dan bij het bedrijfsleven. Is er sprake van mogelijke belangenverstrengeling, of wordt er onvoldoende invulling gegeven aan de FG rol, dan loop je een reële kans op handhaving. Dit artikel geeft aan hoe u de rol van FG betekenisvol kunt inrichten (en ook hoe het niet moet).

Wat doet een FG?

Een FG houdt binnen een organisatie toezicht op de toepassing en naleving van de Algemene Verordening Gegevensbescherming (AVG). Dat doet een FG hoofdzakelijk door de organisatie te informeren en adviseren op het gebied van de AVG, bijvoorbeeld bij het uitvoeren van DPIA’s en het vaststellen van beleid. De FG fungeert daarnaast als contactpersoon voor de toezichthoudende autoriteit. Het aanstellen van een FG is voor overheidsorganisaties verplicht.

Wilt u hier meer over lezen? Op deze pagina (2) lichten wij de taken en verantwoordelijkheden van de FG verder toe.

De FG bij overheidsinstellingen

In het kader van de positie en taakuitvoering van de FG bij overheidsinstellingen, verdienen ook de bevindingen van de Autoriteit Persoonsgegevens (AP) in Nederland aandacht. De AP heeft verschillende onderzoeken uitgevoerd, waarbij de rol of taakuitoefening van de FG binnen Nederlandse overheidsorganisaties een rol speelde.

• Zo heeft de AP in 2023 gesprekken gevoerd met de gemeente Almere en de gemeente Amsterdam, over een mogelijke belangenverstrengeling bij de taken van de FG. Hierover schreven wij in september een artikel (3).

• Bovendien speelde het inwinnen van advies van de FG een rol in het onderzoek naar de Fraude Signalering Voorziening (FSV) van de Belastingdienst (4). De Belastingdienst kreeg daarbij een boete, omdat de FG veel te laat op de hoogte gebracht en betrokken was bij de beoordeling van de DPIA van FSV.

• Tot slot heeft de AP in 2021 een algemeen visiedocument gepubliceerd (5) over de positionering van de FG. Hierin wordt benadrukt dat de FG voldoende middelen, een onafhankelijke positie en voldoende mandaat moet hebben om zijn of haar positie goed uit te kunnen oefenen. Er wordt ook weer gewezen op het gevaar van belangenverstrengeling, en wordt in dat kader uitgesloten dat de FG ook functies vervult waarin hij of zij verantwoordelijkheid voor gegevensverwerkingen zou dragen – zoals het hoofd financiën, strategie, marketing, IT, HRM of CISO.

Voorbeelden uit de praktijk

Op basis van onze ervaring zien we diverse zaken in de praktijk terug bij gemeenten waar we graag enkele adviezen over delen. Hoe kunt u de rol van FG betekenisvol inrichten:

Betrek de Functionaris voor Gegevensbescherming (FG) tijdig bij initiatieven

Een veelvoorkomend probleem dat we in de praktijk constateren, is dat de FG niet altijd tijdig wordt betrokken bij projecten en processen binnen overheidsorganisaties. Deze vertraging kan leiden tot inefficiënte en ineffectieve uitvoering van belangrijke taken, zoals de gegevensbeschermingseffectbeoordeling (DPIA). Het is essentieel om de FG in een vroeg stadium van projecten aan te haken, zodat deze kan adviseren over privacygerelateerde kwesties en mogelijke risico’s kan identificeren. Door de FG tijdig te betrekken, kunnen problemen worden voorkomen en kan de DPIA efficiënt en effectief worden uitgevoerd. We hebben gemerkt dat het gebrek aan tijdige betrokkenheid bij FG’s tot frustratie leidt (6), zowel bij de FG zelf als bij andere betrokken partijen binnen de organisatie.

Heb vooral ook aandacht – en betrek de FG – voor privacy op operationeel niveau

Een ander opvallend aspect in de praktijk is dat privacy op operationeel niveau (‘de werkvloer’) vaak beperkt wordt geïntegreerd, met name bij gemeentelijke Klant Contact Centra (KCC’s) en soortgelijke afdelingen. Hoewel privacyoverwegingen wellicht worden meegenomen op strategisch niveau bij de uitvoering van nieuwe projecten, blijft de integratie ervan op operationeel niveau achter. Dit wordt met name duidelijk in processen zoals telefonische verificatie (7), waar privacyaspecten zoals gegevensverwerking en -bescherming mogelijk onvoldoende worden gewaarborgd. Stel uzelf de vraag: Hebben wij afspraken op papier over hoe we verifiëren via iedere kanaal, zoals aan de telefoon of we de juiste persoon spreken en welke informatie wij delen via welk kanaal? Zo nee, ga vooral met de FG in gesprek over het vastleggen van processen. Het is wenselijk dat privacy een integraal onderdeel wordt van trainingen en processen op operationeel niveau, in lijn met de vereisten van de AVG. Door medewerkers bewust te maken van privacykwesties en hen de juiste procedures aan te leren, kan de bescherming van persoonsgegevens worden verbeterd en kunnen mogelijke privacyrisico’s worden geminimaliseerd. DMCC heeft hiervoor speciale e-learnings ontwikkeld voor gemeenten (8).

Deel best practices en geef de FG ruimte en middelen om intern en extern samen te werken.

Een derde observatie die naar voren komt in de praktijk is dat gemeenten op heel verschillende wijze omgaan met privacy,  in privacybeleid en -praktijken. Ondanks de wettelijke vereisten van de AVG en de richtlijnen van de Autoriteit Persoonsgegevens, blijkt dat gemeenten variëren in hun aanpak van gegevensbescherming. Zo zien we ook dat gemeenten het advies van de FG naast zich neer leggen (9), wat privacyrisico’s met zich mee brengt. Daarom is het juist zo belangrijk om de FG de middelen en ruimte te geven (10) om zijn of haar rol optimaal te kunnen benutten. Als gemeenten veel van elkaar afwijken, kan dit leiden tot verwarring bij burgers en andere belanghebbenden, en het kan de effectiviteit van privacybescherming in het gedrang brengen. Het is daarom waardevol als gemeenten streven naar meer consistentie en samenwerking op het gebied van privacybescherming, bijvoorbeeld door best practices te delen en gezamenlijke richtlijnen te ontwikkelen.

Conclusie: een onafhankelijke FG noodzakelijk volgens AP

Onderzoeken bij gemeenten zoals Almere en Amsterdam over mogelijke belangenverstrengelingen geven een duidelijke boodschap: de positie van de FG moet gevrijwaard blijven van enige vorm van belangenconflict. Deze situaties bieden waardevolle lessen voor overheidsorganisaties.

1. Wat kunt u leren van de onderzoeken naar de positie van de FG?

2. Functionaris Gegevensbescherming (FG)

3. De AP tikt gemeenten op de vingers om dubbelrol van de FG

4. https://www.autoriteitpersoonsgegevens.nl/actueel/zwarte-lijst-fsv-van-belastingdienst-in-strijd-met-de-wet

5. https://www.autoriteitpersoonsgegevens.nl/documenten/positionering-van-de-fg-uitgangspunten-rollen-processen-en-verantwoordelijkheden

6. https://www.binnenlandsbestuur.nl/digitaal/bits-freedom-reikt-privacyprijs-uit-aan-functionaris-gegevensbescherming

7. Gevolgen AP-boete SVB: telefonische klantenservice moet identiteit beller beter verifiëren

8. Privacy & security voor het gemeentelijk klant contactcentrum

9. https://www.agconnect.nl/maatschappij/overheid/gemeenten-negeren-interne-privacytoezichthouders

10. Wat kunt u leren van de onderzoeken naar de positie van de FG?