De taak van de FG is toezien op de bescherming van de verwerking van persoonsgegevens binnen de organisatie en naleving van de privacy regelgeving. Hierbij is het van belang dat de FG zijn rol onafhankelijk binnen de organisatie kan uitvoeren. De AP ontving signalen die erop wijzen dat FG's niet of niet tijdig worden betrokken bij de plannen voor gegevensverwerkingen en onvoldoende de tijd krijgen om de vereiste taken uit te voeren.
Boetes
Ook in andere landen merkten autoriteiten niet-optimale positioneringen van de FG op.
Dit leidde er bijvoorbeeld in België toe dat de Gegevensbeschermingsautoriteit (GBA) een organisatie een boete van €50.000 oplegde vanwege belangenverstrengeling van de FG binnen de organisatie. In deze zaak was de FG ook verantwoordelijk voor de afdelingen compliance, risk management en interne audit. De GBA concludeerde dat het combineren van de functie van FG met een functie als hoofd van een afdeling waarop de FG toezicht uitoefent, in strijd is met de AVG.
De 8 uitgangspunten van de FG en de betekenis in de praktijk
De FG heeft binnen een organisatie enerzijds een adviserende rol en anderzijds een toezichthoudende rol. Om meer duidelijkheid te bieden over de verantwoordelijkheden van de FG, stelde de AP acht uitgangspunten op waarin zij de rollen, processen en verantwoordelijkheden noemen.
1. De FG als adviseur
De FG ziet o.a. toe op Privacy by Design; de organisatie dient de FG vanaf het begin te betrekken bij de ontwikkeling van producten en diensten. Hierdoor kan de FG adviseren over een juiste toepassing van de beginselen van de AVG zodat men het perspectief van de betrokkenen niet uit het oog verliest. De AP onderstreept dat de FG een interne, onafhankelijke privacy toezichthouder is ten dienste van de organisatie. De FG is er daarentegen niet verantwoordelijk voor of de organisatie zijn advies wel of niet opvolgt; dat is de verantwoordelijkheid van de leiding van de organisatie.
2. De FG heeft een toezichthoudende functie
De FG ziet erop toe dat de organisatie de AVG naar behoren toepast en dat betrokkenen hun privacy rechten kunnen uitoefenen. Als de organisatie de AVG niet juist toepast, kan de FG de organisatie hierop aanspreken. De FG zal hierbij in zijn rol als interne toezichthouder op elk moment bij het bestuur moeten kunnen adresseren.
3. Middelen en toegang tot bestuur
Het bestuur van de organisatie waarborgt de onafhankelijkheid van de FG door hem onder andere te voorzien van voldoende middelen en directe toegang tot de hoogst leidinggevende. Als de onafhankelijkheid en de uitvoering van de taken van de FG worden belemmerd, kan de FG een beroep doen op de AP. De AP kan hierover vervolgens met de organisatie in gesprek gaan.
4. De informatiepositie van de FG
Het is de plicht van de organisatie om de FG tijdig en naar behoren op de hoogte te stellen van zaken die de verantwoordelijkheden van de FG raken. Dit houdt in dat de FG een centrale positie inneemt in de interactie tussen de AP en de organisatie. In deze positie kan de FG alleen goed overzien als hij op de hoogte is. Bovendien wordt in artikel 38 lid 1 AVG benadrukt dat de organisatie de FG op passende en tijdige wijze moet betrekken bij alle aspecten van haar verwerkinggerelateerde activiteiten.
Een voorbeeld waarbij onvoldoende borging van het vierde uitgangspunt tot een boete leidde, was in Luxemburg. De Luxemburgse autoriteit (CNPD) (red. boetebesluit is in de Franse taal) legde een organisatie een boete van €15.000 op, omdat de organisatie de FG beperkte in het uitoefenen van zijn taken. De FG was bijvoorbeeld niet uitgenodigd voor relevante vergaderingen en rapporteerde niet rechtstreeks aan het hoogste managementniveau.
5. De klachten- en escalatieladder
Slagen betrokkenen (burgers, klanten, medewerkers) er bij een klacht niet in om met de organisatie tot een regeling te komen? Dan zullen zij voordat ze de klacht indienen bij de AP eerst contact moeten opnemen met de FG van de organisatie. Bij een klacht vraagt de AP in eerste instantie aan de melder of de FG toezicht heeft gehouden op de behandeling van de klacht. Het is hierbij voor organisaties van belang dat de betrokkenen tijdig toegang wordt verleend tot de FG. Bewustwordingsprogramma’s binnen de organisaties spelen hier een essentiële rol in.
6. Het formele onderzoek
Wanneer de AP een formeel onderzoek uitvoert dan zal de AP hier geen informatie over vrijgeven aan de FG. Dit is ook bedoeld om de onafhankelijkheid van de FG binnen de organisatie te waarborgen. Dit uitgangspunt beschermt FG’s door te voorkomen dat de organisatie later beweert dat de FG de AP verkeerd heeft geïnformeerd.
7. Het gebruik van inzichten van de FG door de AP
De AP kan tijdens een onderzoek naar gegevensverwerkingen verwijzen naar de adviezen of rapporten van de FG. De AP kan deze rapporten in overweging nemen bij het ontwikkelen van een oordeel over gegevensverwerkingen. Het is daarom van belang dat de FG adviezen grondig documenteert.
8. De FG als informatieknooppunt
Het is ongepast voor de FG om namens de organisatie te spreken in gerechtelijke procedures, omdat dit de onafhankelijke status van de FG kan beïnvloeden. Dit houdt in dat de FG niet namens de organisatie spreekt, maar wel als aanspreekpunt dient als de organisatie daarom vraagt.
De rol van een FG is essentieel voor de bescherming van de persoonsgegevens die organisaties verwerken. Hoewel de uitgangspunten van de AP meer duidelijkheid geven over de verantwoordelijkheden van de FG, blijft het doorgronden van zaken in de praktijk niet altijd eenvoudig.
Snel ondersteuning nodig binnen privacy & informatiebeveiliging?
Heb je ondersteuning nodig bij de positionering van de FG binnen jouw organisatie of een ander privacygerelateerd vraagstuk? De privacy counsels en security officers van DPA hebben ervaring met verschillende vraagstukken, vanuit diverse invalshoeken. Daarnaast bieden wij ook oplossingen aan om (tijdelijke) FG posities in te vullen.
