Toezicht houden op de naleving van de privacywet, adviseren over gegevensbescherming, samenwerken met de Autoriteit Persoonsgegevens (AP); bekende taken van de Functionaris voor de Gegevensbescherming (FG). Maar er komen steeds meer taken bij.
Hoe gaan we hiermee om? En hoe zorgen we ervoor dat FG’s hun werk kunnen blijven doen en het niet te veel wordt, zodat de privacy kan worden gewaarborgd? Walter van Wijk – community manager van Centrum Informatiebeveiliging en Privacybescherming (CIP) – vertelt meer over de ontwikkelingen waarmee FG’s te maken krijgen en over de stappen die zij én bestuurders kunnen zetten.
Met wat voor ontwikkelingen krijgen FG’s te maken?
Van Wijk: “FG’s hebben of krijgen te maken met verschillende soorten ontwikkelingen. Denk aan wettelijke ontwikkelingen, zoals de Europese AI Act en de Data Governance Act. En technologische ontwikkelingen, zoals het sterk groeiende aantal toegepaste algoritmes en Privacy Enhancing Technologies (PET). Daarnaast komt het steeds vaker voor dat FG’s samenwerken met andere partijen om op een veilige en verantwoorde manier organisatie overstijgende gegevens te delen om maatschappelijke vraagstukken te beantwoorden. Tot slot zijn er nieuwe functiegroepen waarmee FG’s te maken hebben, zoals de Chief Data Officer en de Chief Privacy Officer.
FG zijn is al uitdagend genoeg in de huidige context, maar er komen steeds meer taken bij. Er is sprake van hoge urgentie, want de ontwikkelingen zijn al heel concreet en actueel. En dus ook zorgwekkend voor privacyminnend Nederland. Daarom is het belangrijk om hier nu aandacht voor te vragen.”
Hoe gaan we hiermee om?
De oplossing ligt zowel bij bestuurders als bij FG’s, vertelt van Wijk.
“De bestuurders moeten hun organisatie inrichten op deze ontwikkelingen. Een goede bestuurder die maatschappelijk verantwoord wil ondernemen moet ook maatschappelijk verantwoord omgaan met persoonsgegevens en kwetsbare gegevens van burgers. Dit kan betekenen dat er moet worden opgeschaald, ook in de breedte. Een FG kan niet alleen functioneren als jurist, maar moet ook beschikken over kennis op gebieden, zoals veranderkunde, communicatie, bedrijfsvoering en bestuur.
Als je kijkt naar FG’s kan het van belang zijn om (vaker) samen te komen met andere FG’s om kennis uit te wisselen en van elkaar te leren. Ook om meer ‘vakvolwassen’ te worden. De Informatiebeveiligingsdienst (IBD) van de Vereniging van Nederlandse Gemeenten (VNG), het Nederlands Genootschap van Functionarissen voor de Gegevensbescherming (NGFG) en CIP bieden hiervoor al mogelijkheden. Een FG is een eenzaam beroep, want vaak is er maar één binnen een organisatie.”
Van Wijk geeft aan dat FG’s zich ook moeten voorbereiden op de toekomst. “Bestuurders zullen steeds meer advies willen over de verschillende ontwikkelingen. Als FG moet je haalbare doelen kunnen stellen en prioriteren, want als je alles belangrijk maakt, is niets belangrijk. Hiervoor is moed nodig, want er is druk. Druk vanuit de maatschappij, het bestuur, een ministerie of vanuit een andere overheidsorganisatie. Als FG moet je hierover in gesprek gaan met de bestuurder om tot duidelijke afspraken te komen. Je moet ook heldere en haalbare afspraken maken met andere privacyprofessionals binnen de organisatie over wie wat doet en wat de hoogste prioriteit heeft.”
Hoe blijven de privacy en kwaliteit gewaarborgd?
Van Wijk: “Over het algemeen is het best goed gesteld met de privacybescherming in Nederland en dat willen we natuurlijk graag zo houden. Daarom is het belangrijk om als bestuurder én als FG te anticiperen op de ontwikkelingen om de privacy te blijven waarborgen.”
Om de kwaliteit te waarborgen van FG’s is CIP, op verzoek van het ministerie van Justitie en Veiligheid (JenV), betrokken bij de realisatie van een openbaar register, namelijk het Nationaal Register voor FG’s (NRFG). Dit is bedoeld om het toezicht op de verwerking van persoonsgegevens te versterken door de positie en bekwaamheid van FG’s te toetsten en te borgen.
Welke stappen kunnen FG’s en bestuurders nu zetten?
“Elke organisatie is anders en heeft andere (privacy)behoeften en risico’s. De Belastingdienst is waarschijnlijk met hele andere stappen bezig dan een gemeente.” Van Wijk geeft aan dat het belangrijk is om als organisatie te kijken naar wat je nu kunt doen voor FG’s, zodat de privacy wordt gewaarborgd. Wat zijn bijvoorbeeld de prioriteiten?
“CIP doet verschillende dingen voor FG’s en andere privacyprofessionals in de publieke sector. Wij willen hen informeren, in contact brengen met anderen om kennis te delen en helpen om meer ‘vakvolwassen’ te worden. Bijvoorbeeld via onze Pleio-omgeving. We hebben ook een Informatiebeveiliging en Privacy (IB&P) spreekuur, waarbij je zonder afspraak kunt langskomen voor bijvoorbeeld een vraag of luisterend oor.” CIP organiseerde ook diverse FG Cafés. “Mocht hiervoor nog interesse zijn, hoor ik het graag”, geeft van Wijk aan. Hiervoor kun je mailen naar cip@cip-overheid.nl.