De noodzaak en positie van een FG: hoe zit het ook alweer?

Sinds de AVG van toepassing is, zijn veel organisaties verplicht om een zogenaamde ‘functionaris voor de gegevensbescherming’ (FG) aan te stellen. De AVG bevat voorschriften over de positie van zo’n FG, die onlangs door de Autoriteit Persoonsgegevens (AP) nader zijn toegelicht. Het is van belang dat de betreffende organisaties daaraan voldoen. In de praktijk is dat echter niet altijd het geval. In deze blog worden de eisen die worden gesteld aan de positie van de FG verhelderd.

Een FG moet een echte duizendpoot zijn. Zo heeft hij tot taak om de organisatie te informeren en adviseren over de wet- en regelgeving inzake de bescherming van persoonsgegevens en om toe te zien op de naleving van die regels en het beleid van de organisatie ter zake. Daarnaast dient hij advies te verlenen bij zogenaamde ‘DPIA’s ‘, samen te werken met de toezichthoudende autoriteit (in Nederland de AP) en op te treden als aanspreekpunt voor de AP. De verschillende voorschriften die gelden voor de positie van de FG dienen er hoofdzakelijk toe om de uitvoering van deze taken zo goed mogelijk te faciliteren. De impact van deze voorschriften kan ingrijpend zijn voor organisaties. Niet alle organisaties die met persoonsgegevens te maken hebben, hoeven echter een FG aan te stellen. Allereerst staan wij dan ook stil bij de vraag wanneer een FG moet worden aangesteld.

Moet mijn organisatie een FG aanstellen?

De AVG bepaalt in welke gevallen een organisatie verplicht is een FG aan te stellen. Kort gezegd geldt de verplichting voor overheidsorganen en overheidsinstanties (met een uitzonderingen voor gerechten), voor organisaties die zich hoofdzakelijk bezig houden met de grootschalige, regelmatige en stelselmatige observatie van natuurlijke personen en voor organisaties die hoofdzakelijk en op grote schaal bijzondere persoonsgegevens of strafrechtelijke gegevens verwerken. Wat in dit geval onder ‘grootschalig’ wordt verstaan, heeft de AP inmiddels toegelicht voor zorgaanbieders.

De verplichting om een FG aan te stellen, geldt zowel voor verwerkingsverantwoordelijken als voor verwerkers die aan de hierboven genoemde voorwaarden voldoen. Als een organisatie strikt genomen geen FG hoeft aan te stellen, kan het natuurlijk nog steeds een goed idee zijn om iemand aan te stellen die zich bezig houdt met AVG-compliance. In dat geval  gelden de wettelijke vereisten rondom het aanstellen van een FG in beginsel niet. Let wel: wordt deze persoon wel FG genoemd, dan gelden de vereisten uit de AVG toch.

Welke positie krijgt de FG binnen de organisatie?

Zoals genoemd, stelt de AVG nogal wat eisen aan de positie van een FG binnen een organisatie. Hierna staan wij daarbij kort stil – en benoemen aanbevelingen van de AP voor de feitelijke invulling daarvan.

Allereerst geldt dat de FG naar behoren en tijdig moet worden betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens. Nu een groot deel van gangbare bedrijfsprocessen resulteren in verwerkingen van persoonsgegevens, betekent dat dat een FG bij tal van aangelegenheden van meet af aan zal moeten worden betrokken. De AP benadrukt dat voorkomen beter is dan genezen: door de FG tijdig te betrekken kunnen – op basis van zijn adviezen – privacyrisico’s tijdig worden ondervangen. De FG is er niet verantwoordelijk voor als zijn adviezen niet worden uitgevoerd. Wel moet intern worden vastgelegd wat er met de adviezen gebeurt, en waarom bepaalde adviezen eventueel niet worden opgevolgd (‘comply or explain’). Deze toelichting van de AP sluit aan bij de ‘verantwoordingsplicht’ uit de AVG. Bij een onderzoek kan de AP deze documentatie opvragen.

Ten tweede geldt dat een FG door de organisatie moet worden ondersteund bij zijn taken, door hem toegang te verschaffen tot persoonsgegevens en verwerkingsactiviteiten en door hem de benodigde middelen ter beschikking te stellen voor het vervullen van deze taken en het in stand houden van zijn deskundigheid. De AP benadrukt dat een FG zich tot de AP kan wenden als hij bijvoorbeeld in zijn werk wordt belemmerd doordat zijn onafhankelijke positie wordt aangetast of hij geen tijd en middelen krijgt om zijn taak uit te voeren. De AP kan een organisatie hier op aanspreken (en zelf besluiten hoe zij daaraan vorm geeft). De AP benadrukt dat het bestuur van een organisatie verantwoordelijk is voor het creëren en faciliteren van een werkomgeving die de FG in staat stelt optimaal en conform AVG te functioneren. Daar staat tegenover dat van de FG wordt verwacht dat hij hier het voortouw in neemt.

Ten derde moet de organisatie ervoor zorgen dat de FG geen instructies ontvangt betreffende de uitvoering van zijn taken. Hij mag niet worden ontslagen of gestraft voor de uitvoering van zijn taken. Bovendien dient de FG rechtstreeks verslag uit te brengen aan de hoogste leidinggevende van de organisatie. Deze verplichtingen zien onder meer op het waarborgen van de onafhankelijkheid van de FG. Deze onafhankelijkheid is eveneens benodigd voor een goede taakuitoefening. De AP benadrukt dat de FG ingrijpt als het (mogelijk) fout gaat en dat hij risico’s signaleert bij (voorgenomen) verwerkingen. De FG moet daarbij ook het hoogste bestuurlijke niveau binnen een organisatie kunnen aanspreken als hij dat nodig vindt – en de organisatie moet dit faciliteren. Van de FG wordt verwacht dat hij die ruimte ook neemt. Als een FG grote zorgen heeft over bewuste niet-naleving van de AVG, kan hij dat bij de AP melden.

Ten vierde geldt dat betrokkenen contact met FG moeten kunnen opnemen over alle aangelegenheden die verband houden met de verwerking van hun gegevens en met de uitoefening van hun rechten uit hoofde van de AVG. De FG is binnen de organisatie het aanspreekpunt voor zaken die raken aan (de bescherming van) persoonsgegevens. Mocht een betrokkene met een klacht zich direct melden bij de AP, dan gaat de AP eerst bij de betrokkene na of de FG heeft toegezien op de afhandeling van de klacht (aldus de aanbevelingen). Is dat niet het geval, maar wel wenselijk, dan wordt de betrokkene gevraagd alsnog contact op te nemen met de FG. Als de FG wel betrokken is geweest, kan de input van de FG door de AP worden meegenomen bij de beoordeling van de klacht. De AP laat zich daarbij niet uit over de bruikbaarheid van het advies van de FG en hoeft daarover geen uitleg te geven. Daarbij geldt dat de AP in voorkomende gevallen ook zonder voorafgaand contact met de FG over zegt te gaan tot handhaving.

De AP benadrukt dat de FG ook ten taak heeft om het aanspreekpunt te zijn van de AP. De FG moet een centrale positie innemen in de contacten tussen de AP en de organisatie – en in die hoedanigheid ook op de hoogte zijn van alle communicatie van de AP met de organisatie. Het is aan de organisatie en de FG om daar precieze afspraken over te maken. Uitgangspunt is dat de AP de FG altijd een digitaal afschrift van schriftelijke communicatie zal sturen wanneer zij een onderzoek start – en bij structureel contact zelf afspraken met de organisatie en FG maakt over de informatievoorziening aan de FG. Vanaf de start van een onderzoek spreekt de AP daarover niet inhoudelijk met de FG. In die periode kan er wel contact zijn over andere zaken of over het procesverloop van het onderzoek. Dit is niet alleen in het belang van het onderzoek, maar ook ter bescherming van de FG – immers moet duidelijk zijn dat de FG geen enkele inhoudelijke betrokkenheid heeft.

Ten vijfde en zesde bepaalt de AVG dat de FG gehouden is tot geheimhouding of vertrouwelijkheid en dat de FG andere taken en plichten kan vervullen binnen de organisatie, mits de organisatie ervoor zorgt dat dit niet tot een belangenconflict leidt. Een FG kan een personeelslid van de verwerker zijn of zijn taken op grond van een dienstverleningsovereenkomst verrichten. Blijkens de AVG kan het voldoende zijn om binnen een concern één FG te benoemen. Ook voor een groep overheidsinstanties of overheidsorganen is dat in beginsel mogelijk. De AP stelt dat het niet gepast is als een FG in een juridische procedure namens de organisatie spreekt, omdat dit zijn onafhankelijke positie aantast. De AP benadrukt dat het daarnaast uitgesloten is dat de FG functies vervult waarbij hij verantwoordelijkheid voor gegevensverwerkingen zou dragen. Functies als hoofd financiën, strategie, marketing, IT, HRM of CISO (chief information security officer) zijn daarmee uitgesloten. Ook is uitgesloten dat de FG zich opstelt als (proces-)advocaat van de organisatie.

Conclusie

Het is voor elke organisatie die met persoonsgegevens werkt, van belang om te bepalen of zij verplicht is een FG aan te stellen. Is zij dat niet, dan kan het – gelet op alle geldende vereisten – de voorkeur genieten om ‘formeel’ ook geen FG aan te stellen. Is uw organisatie wel verplicht een FG aan te stellen, dan is het van belang om aan alle vereisten ter zake de positionering en facilitering van die FG te voldoen, opdat de FG zijn of haar taken goed uit kan voeren.

De sectie IE, ICT en Privacy van KienhuisHoving beschikt over uitgebreide expertise op (onder meer) het gebied van de AVG en de regels rondom FG’s. Heeft u vragen? Neem dan vooral contact met ons op.