Onder de Algemene Verordening Gegevensbescherming (AVG) krijgt de functie Functionaris Gegevensbescherming (FG) voor organisaties een veel prominentere rol en is het de uitdaging om deze (nieuwe) rol nu goed in te vullen. En dat terwijl ook de andere onderdelen van de wet veel aandacht vragen.
De rol van de functie FG is niet los te zien van de andere maatregelen die organisaties moeten treffen om te voldoen aan de AVG. Organisaties moeten COPAFIJTH-breed kijken naar de invulling van deze rol en dat is een grote uitdaging. De werkgroep AVG (onderdeel van programma Gegevenslandschap Overheid) heeft in afstemming met het Nederlands genootschap Functionaris Gegevensbescherming (NGFG) een aantal richtlijnen voorgesteld die een bijdrage leveren aan deze invulling. Deze richtlijnen moeten nog worden vastgesteld in de Regieraad Gegevens.
Verantwoordelijkheid FG functionaris
De Functionaris voor Gegevensbescherming is een belangrijke functionaris rondom de AVG. De FG is in ieder geval verantwoordelijk voor het houden van onafhankelijk toezicht op, en adviseren van de organisatie over de juiste en zorgvuldige omgang met persoonsgegevens. Dit betekent dat de FG bij alle mogelijke processen waar persoonsgegevens worden gebruikt betrokken zou moeten zijn. Daarnaast loopt de formele communicatielijn van de organisatie naar de Autoriteit Persoonsgegevens met betrekking tot vragen en klachten over de verwerking van persoonsgegevens via de FG. Dit is tevens de escalatielijn voor de FG als deze een escalatie nodig acht. Op basis van deze verantwoordelijkheid zal de organisatie een inschatting moeten maken van de capaciteit die nodig is voor de FG en de aanvullende capaciteit die hij nodig heeft.
Plaats in de organisatie
De rol van Functionaris Gegevensbescherming is nu vaak nog een medewerker op de juridische of IT-afdeling, die dit werk combineert met andere werkzaamheden. Privacy is echter een breed onderwerp, dat vraagt om zorgvuldige bestuurlijke afweging van diverse belangen en risico’s. De FG is bovendien de formele toezichthouder samen met de Autoriteit Persoonsgegevens en de FG rapporteert en adviseert rechtstreeks het hoger management (artikel 38.3). Het is daarom verstandig om de FG zo onafhankelijk mogelijk en in de buurt van de verantwoordelijke manager te positioneren. Een functie in de staf of adviserend orgaan van het hoger management of directie lijkt logisch.
Deze (hiërarchisch hoge) formele positie stelt ook eisen aan de kwaliteiten en schept verwachtingen over de verantwoordelijkheid van de FG. Het aantrekken van deze kwaliteit zal ook een financiële investering vragen. Logischerwijs zou de FG, als onafhankelijk adviseur en toezichthouder van het hoger management, ongeveer 1 tot 2 schalen onder dit management moeten vallen.
De Functionaris Gegevensbescherming mag zijn taken combineren met andere taken binnen de organisatie, maar dit mag echter niet tot een belangenconflict leiden (artikel 38.6). Dit belangenconflict komt voor op het moment dat de FG in zijn andere rol mogelijk ook besluiten kan nemen die over het verwerken van persoonsgegevens gaan. In veel overheidsorganisaties is het verwerken van persoonsgegevens eerder regel dan uitzondering. Het is daarom veilig om te veronderstellen dat de FG geen managementtaken kan vervullen, omdat hij daarbij al snel een belangenconflict kan krijgen. Ook operationele functies waarbij persoonsgegevens worden verwerkt zijn uitgesloten. Dit versterkt de veronderstelling dat het verstandig is om de FG als staffunctie te positioneren.
Bepalen capaciteit van de FG via tool
De aanstelling van de Functionaris Gegevensbescherming moet zijn afgestemd op de aard van de organisatie, de gegevensverwerkingen en de daarbij behorende risico’s. Organisaties hebben moeite met het inschatten van deze capaciteit. Het NGFG werkt op dit moment aan een tool die helpt bij het bepalen van de capaciteit van de FG. De tool is geen veelomvattend systeem, maar een hulpmiddel waarmee per organisatie het risicoprofiel kan worden bepaald en daarmee ook de vereiste toezichts- en adviesfunctie. De organisatie dient uiteindelijk wel zelf de inschatting te maken van de uiteindelijke positie en vereiste capaciteit. De verwachting is dat deze tool in Q4 2017 kan worden afgerond en beschikbaar wordt gesteld.
Culturele verandering
Het komt voor dat organisaties persoonsgegevens gebruiken zonder rechtmatigheid van gebruik voldoende in ogenschouw te nemen. Rechtmatigheid delft vaak het onderspit ten opzichte van doelmatigheid en efficiëntie. In verband met de technologische en maatschappelijke ontwikkelingen is dit niet langer te verdedigen. Organisaties staan daarbij voornamelijk voor een grote culturele veranderopgave in plaats van een organisatorische. Medewerkers moeten zich bewust worden dat bij verwerking van persoonsgegevens extra aandacht nodig is. Hiervoor hebben we vanuit het programma al de WMK-toets opgeleverd die hieraan een bijdrage kan leveren.
Privacy en gegevensbescherming moeten echter een kernwaarde en voordeel van de organisatie zijn, dat niet alleen met een tooltje is te realiseren. Organisaties moeten zich daarom vooral inspannen om de cultuur van de organisatie te veranderen om succesvol te kunnen zijn. Om na de deadline van de AVG de borging goed te laten slagen kan de FG een belangrijke bijdrage leveren aan het privacy bewustzijn. Hierbij gesteund door de maatregelen die door de organisatie zijn genomen. Tegelijkertijd is de Functionaris Gegevensbescherming daarbij afhankelijk van een op naleving gerichte cultuur. Cruciaal hiervoor zijn onder andere het goed (formeel en informeel) positioneren van de FG en de ‘tone at the top’ moet goed zijn.
Proces
Om de expertise van de Functionaris Gegevensbescherming optimaal te benutten, moet men hem op de werkvloer goed weten te vinden. Dit ligt voor een gedeelte besloten in de eerder besproken cultuur, maar kan ook in processen worden gevangen.
Bij het ontwikkelen van beleid, de aanschaf van software of aanpassingen in processen waarin persoonsgegevens worden verwerkt vervult de FG een adviserende rol. Dit betekent niet dat de FG ook daadwerkelijk van al deze facetten zelf de expertise hoeft te hebben. Deze kennis kan ook elders in de organisatie zijn belegd.
De organisatie moet wel voldoende checks inbouwen in de processen om er zeker van te zijn, dat de FG ook echt goed als adviseur en toezichthouder betrokken is. Besluiten zonder een advies van de FG is dan ook niet mogelijk. Er moet opnieuw worden gekeken naar de processen rond (het ontwerpen en uitvoeren van) gegevensverwerking en de rol van de FG.
Profiel
Omdat de functie van Functionaris Gegevensbescherming zwaarder wordt ingestoken, moet er beter op worden gelet dat de FG over kennis en kunde beschikt om deze rol goed te kunnen vervullen. Het is goed mogelijk dat meer dan één persoon nodig is (in teamverband) om over al deze eigenschappen te beschikken. Een aantal belangrijke zijn bijvoorbeeld:
- Politiek- en bestuurlijk sensitief:
Omdat de FG een adviesrol heeft ‘hoog’ in de organisatie is het een belangrijke opgave om aan de ene kant alle stakeholders te betrekken, te begrijpen wat bestuurlijke belangen zijn en hier op een zelfstandige wijze mee om te gaan. - Communicatief sterk en diplomatiek:
De organisatie zal moeten worden meegenomen in de culturele verandering. Dit zal mogelijk weerstand oproepen. De FG zal daarom overtuigingskracht nodig hebben, moeten kunnen netwerken, draagvlak kunnen creëren en het belang van gegevensbescherming kunnen overbrengen. - Inhoudelijk expert:
Op AVG gebied, andere wetgeving over gebruik van informatie en data door de overheid, maar ook op het gebied van bijvoorbeeld informatietechnologie. Bovendien moet hij goed op de hoogte zijn van de bedrijfsprocessen en de praktijk van gegevensverwerking van de eigen organisatie. Het is goed mogelijk dat hier meerdere personen voor aangetrokken moeten zijn. Slechts weinig professionals hebben een expertise op al deze gebieden. Vanuit het NGFG wordt nu gewerkt aan een algemeen functieprofiel dat gebruikt kan worden voor de werving van een FG. Dit profiel zal rond oktober gereed zijn, maar zal door het projectteam dan ook geijkt worden voor de overheidscontext.
Samenvatting richtlijnen
Op basis van bovenstaande kan worden gesteld dat een organisatie voor een goede invulling van de rol van FG zal moeten beoordelen of:
- Voldoende capaciteit beschikbaar is gesteld voor de FG, zo mogelijk aan de hand van (te ontwikkelen) tooling;
- De FG op de juiste plaats in de organisatie is gepositioneerd, bij voorkeur als onafhankelijk adviseur van het algemeen bestuur met de juiste inschaling;
- De FG over de juiste persoonlijke professionele kwaliteiten beschikt, aan de hand van een functieprofiel;
- De FG goed is ingebed in de organisatiestructuur en de processen, en waarbij de cultuur zorgt voor een verantwoordelijke omgang met persoonsgegevens.
