Organisaties helpen om de privacywetgeving na te leven op basis van wets-, praktijk- en organisatiekennis. Dit is sinds de inwerkingtreding van de Wet Bescherming Persoonsgegevens in 2001 de kerngedachte achter de FG-rol. Vanaf 25 mei 2018 geldt de Algemene verordening gegevensbescherming (AVG) voor de hele Europese Unie. Hiermee kreeg de FG-rol extra gewicht binnen het systeem van privacy- en gegevensbescherming.
Geen beschermde titel
FG is geen beschermde titel en de Autoriteit Persoonsgegevens stelt vooralsnog geen eisen op het gebied van opleiding en certificeringsniveau. Waar de FG aan moet voldoen, is te lezen in artikel 37 van de AVG. Vereist zijn professionele kwaliteiten, deskundigheid op het gebied van de wetgeving en praktijk inzake gegevensbescherming en het vermogen om de FG-taken te vervullen.
Hoeveelheid, gevoeligheid en complexiteit
Overweging 97 van de AVG vult dit profiel aan door te bepalen dat het vereiste deskundigheidsniveau met name bepaald wordt door de uitgevoerde gegevensverwerkingen en de vereiste bescherming. Ofwel: de deskundigheid moet in lijn zijn met de hoeveelheid verwerkte gegevens, de gevoeligheid, de complexiteit en het risicodragend karakter ervan. Dit laatste kent twee kanten: het risico voor de betrokkenen en de aan dit risico verbonden impact voor de organisatie.
Richtlijnen en kwaliteitseisen.
De vraag is natuurlijk wat precies bedoeld wordt met professionele kwaliteiten, deskundigheid en vermogen om de taken te vervullen. Hier geeft de Artikel 29-werkgroep van Europese privacytoezichthouders richtlijnen voor. Een duidelijke uiteenzetting vindt u in onze whitepaper ‘De ene FG is de andere niet. Handreiking voor de functionaris gegevensbescherming’. Naast richtlijnen zijn ook de kwaliteitseisen een essentieel onderdeel van de toetsing van vaardigheden. Ook deze vindt u terug in onze whitepaper.
Schaap met vijf poten
Het mag duidelijk zijn: een FG moet van veel markten thuis zijn. Hij of zij kent de markt, begrijpt de bedrijfsprocessen en heeft inzicht in IT en security. Daar komen competenties bij zoals organisatiebewustzijn, meedenkend vermogen, autoriteit, autonomie, integriteit en communicatievaardigheden. De positie van de FG is dus belangrijk, zeker in grote en complexe organisaties. Die rol vraagt een behoorlijke dosis flexibiliteit, kennis van bedrijfsvoering en diplomatie.
Voldoe je aan het profiel?
Hou er rekening mee dat de AP heeft aangekondigd meer controle te gaan uitvoeren op naleving van de AVG. Denk hierbij aan controle op datalekken en interventies naar aanleiding van al dan niet-gemelde datalekken. Belangrijk dus om álle datalekken op te nemen in het incidentregister, en om de besluitvorming van een mitigatie te documenteren. Vraag je regelmatig af of je als FG over de juiste kennis en kunde beschikt om hiermee om te gaan en je rol adequaat te kunnen vervullen.
