ICTRecht B.V.

  • Jollemanhof 12
  • 1019 GW Amsterdam
Telefoon
Vestiging Amsterdam: 020 663 1941 / Vestiging Groningen: 050 209 3499
E-mail
info@ictrecht.nl
KvK
34216164
btw
NL8223.30.040.B01
Terug naar overzicht

Voor- en nadelen van een interne of externe functionaris gegevensbescherming

20 juni 2017 Door

Door de toenemende aandacht voor privacy, stellen steeds meer organisaties een Functionaris Gegevensbescherming (FG) aan. Eerder schreven we al over de Artikel 29-werkgroep richtsnoeren voor een FG. Onder de Algemene Verordening Gegevensbescherming (AVG ook GDPR genoemd) wordt dit voor bepaalde organisaties ook verplicht. Maar stel je die functionaris intern of extern aan?

Het is een relatief nieuwe functieomschrijving, die nog een aantal vragen oproept. Ook wanneer al is vastgesteld dat het verplicht of wenselijk is om iemand de taak toe te bedelen en toe te zien op de omgang met persoonsgegevens. Want benoem je iemand binnen je eigen organisatie tot FG (ook wel ‘Privacy Officer’ of ‘Data Protection Officer’ genoemd)? Of leg je deze taken neer bij een externe Functionaris Gegevensbescherming? Aan beide opties zitten voor- en nadelen, die in dit artikel zullen worden uitgelegd.

De voor- en nadelen van een interne Functionaris Gegevensbescherming

Misschien is er iemand binnen de organisatie voor wie de juiste omgang met persoonsgegevens al op een logische manier binnen het takenpakket past. Bijvoorbeeld een jurist die kennis van privacywetgeving heeft, of deze privacykennis op wil doen. Een dergelijk persoon kan deze taken dan relatief gemakkelijk oppakken binnen zijn/haar huidige functie.

Voordelen van een interne Functionaris Gegevensbescherming:

  • Een concern kan gezamenlijk één FG instellen, mits er vanuit elke vestiging gemakkelijk contact kan worden opgenomen met deze functionaris.
  • Wanneer de functie perfect past bij het kennisniveau en het takenpakket van een interne medewerker en daarnaast de interne ambities, ontwikkelingen en privacygevoelige zaken passen bij de beschikbaarheid van deze persoon, dan kan dit goedkoper zijn dan extern inhuren.
  • De organisatie is bovendien al bekend met deze persoon. Het is dan zeer gemakkelijk om snel te schakelen wanneer er een privacyvraag speelt. Zo kan snel duidelijkheid worden gekregen en doorgegaan worden met het ontwikkelen van producten of diensten, rekening houdend met het privacyadvies.

Nadelen van een interne Functionaris Gegevensbescherming:

  • Voor veel bedrijven die geen multinational zijn, is de functie van FG niet fulltime. De betreffende taken zullen dan dus bovenop de werkzaamheden van een bestaande medewerker komen. Het kan dan enige opstarttijd vergen voordat de taken op een juiste manier zijn opgepakt.
  • Vaak zal een vorm van training nodig zijn om iemand zijn taken als FG naar behoren te kunnen laten uitoefenen. Wanneer een FG op grond van de AVG verplicht is, zijn er ook eisen aan zijn kennis gesteld. Hij moet immers een juridisch juiste beoordeling kunnen maken van de bedrijfsactiviteiten onder de privacywetgeving.
  • Een ander vereiste uit de AVG is dat een FG onafhankelijk moet zijn. Dat is lastiger wanneer het een interne medewerker is die al een geschiedenis binnen het bedrijf heeft. Het kan dan minder gemakkelijk voor diegene zijn om zich onbevooroordeeld uit te spreken over de privacygevolgen van een project. Hij is immers meer onderdeel van de organisatiestructuur en -geschiedenis.

De voor- en nadelen van een externe Functionaris Gegevensbescherming

Voordelen van een externe Functionaris Gegevensbescherming:

  • Wanneer een FG extern wordt aangesteld, heeft dit als voordeel dat hij meteen de juiste expertise heeft. Er zijn dan ook geen opleidingskosten om de juiste kennis in de organisatie te krijgen.
  • De externe FG is geen werknemer van de organisatie voor wie hij de privacyzaken regelt, wat kosten en administratieve lasten kan besparen.
  • Een externe FG biedt flexibiliteit. Er wordt alleen betaald voor de werkzaamheden die worden uitgevoerd. De kosten ervan verschillen per organisatie, en naar gelang de wensen van de organisatie. Soms zijn er vele privacy-uitdagingen tegelijk, en dan neemt de hoeveelheid vragen weer af.
  • De volledige focus van de externe FG ligt bij privacy. Hij heeft de zorg voor een goede omgang met persoonsgegevens dus niet zomaar ‘erbij gekregen’ als taak naast andere werkzaamheden. Dit vergemakkelijkt ook het onafhankelijk opereren van het bestuur. De AVG heeft deze onafhankelijkheid immers hoog in het vaandel staan.
  • Het is ook op deze manier mogelijk om met meerdere organisaties in een branche vergelijkbare privacy-aanpassingen en ‘best practices’ te maken en kosten hiervan te delen.
  • Een externe FG wordt meestal gevoed door een organisatie en netwerk van mede-experts en kan daardoor snel vat krijgen op wetswijzigingen.

Nadelen van een externe Functionaris Gegevensbescherming:

  • De externe FG kent nog niet alle ins en outs van gebruikte tools en software binnen een organisatie en de mogelijke (privacy)risico’s. Hij kan deze echter wel inventariseren, waardoor binnen relatief korte tijd een inzicht in de privacygevoelige activiteiten van een bedrijf kan worden verkregen.
  • De externe FG is misschien minder bekend met een specifieke branche. Dit kan ook juist een voordeel zijn omdat er dan met frisse ogen naar werkwijzen, processen en tools en software wordt gekeken.

Intern of extern aanstellen Functionaris Gegevensbescherming hangt sterk af van soort organisatie

Wanneer een Functionaris Gegevensbescherming wordt aangesteld, kan dit zowel een persoon van binnen de organisatie zijn, als een extern persoon. Wat de meest geschikte keuze is, hangt af van de activiteiten, de beschikbare kennis en mankracht binnen een organisatie, het budget en de wensen van een organisatie. Het is dus belangrijk om de voor- en nadelen van de verschillende opties zorgvuldig af te wegen.

Functionaris Gegevensbescherming opleiden of inhuren?

ICTRecht biedt een tweedaagse juridische opleiding voor Functionarissen Gegevensbescherming (met of zonder juridische achtergrond). Mocht er meteen behoefte zijn aan een deskundige Functionaris Gegevensbescherming dan heeft ICTRecht hiervoor specialisten beschikbaar die uw organisatie op afstand of gedetacheerd kunnen ondersteunen.

 

Fotocredit: Webnerd.eu – Flickr cc0

 

 

Fay Kartner

Juridisch adviseur

Fay Kartner is werkzaam bij ICTRecht als juridisch adviseur. Binnen ICTRecht houdt zij zich voornamelijk bezig met privacyvraagstukken. Hiervoor is Fay werkzaam geweest als docente EU-recht aan de Radboud Universiteit. Fay heeft de bachelor Internationaal en Europees Recht gevolgd, en de master International & European Law (EU Economic and Competition Law) en een researchmaster, aan de Tilburg University.


Er zijn 4 reacties

  1. Dank voor deze mooie uiteenzetting naar aanleiding van mijn tweet!

    Ik – beleidsmedewerker ICT bij een stichting voor scholen in het (voortgezet) speciaal onderwijs en praktijkonderwijs – acht de onafhankelijkheid van de interne FG als belangrijkste nadeel. Verder heeft de externe FG m.i. meer nadelen dan voordelen (deels overeenkomend met jullie artikel), namelijk:
    – Je verliest de korte lijnen.
    – Vraagtekens bij hoe ‘ingewerkt’ en bekend zo’n externe FG bij onze organisatie zou zijn.
    – De externe moet – ihkv bewerkersovereenkomsten – goed in staat zijn de omvang en het belang van de afspraken met organisatie-specifieke leveranciers in te schatten.
    – Hoe bepaal je prioriteiten tussen gelijktijdige incidenten bij verschillende besturen (indien externe FG als gezamenlijke FG door meerdere besturen wordt ingeschakeld)?
    – Ook ivm continuïteit en interne borging plaats ik vraagtekens.
    – En, vanuit de Autoriteit Persoonsgegevens worden er ook eisen gesteld aan een (gezamenlijke/externe) FG, onder andere over de directe beschikbaarheid daarvan (zie artikel 2.3 uit de Richtlijnen FG).

    Misschien is nog wel de belangrijkste reden om het intern te beleggen het feit dat wij veiligheid integraal benaderen. Een FG moet dus nauw samenwerken met de mensen die verantwoordelijk zijn voor de sociale veiligheid en fysieke veiligheid op onze scholen. En de FG ook makkelijk contact kunnen zoeken met alle betrokkenen: schoolmedewerkers, leerlingen, ouders en partners (in het kader van de informatieplicht).

    En natuurlijk is kennis en het onderhoud daarvan van groot belang (voordeel van een externe FG als specialist). Blijvend scholen is dan ook mijn devies, en zo nodig een externe FG als adviseur aanstellen kan natuurlijk ook prima. Dat doen we nu ook bij onze vertrouwenspersonen.

    Mijn voorkeur gaat uit naar het (minimaal ook) intern beleggen van de rol van FG.

  2. Bedankt voor jouw reactie Pascal, goed om er vanuit de onderwijsbranche wat extra achtergrond en details bij te hebben.

    Qua het puntje ingewerkt / bekend zijn van de externe FG, kun je wel zeggen dat ze in hoge mate getraind zijn om te inventariseren, mensen te ondervragen en in brede zin te weten waar potentiële privacy/veiligheidslekken zitten. Dus als specialisten kunnen ze specifieke tooling minder kennen, maar de algemene tooling en het inventarisatieproces + documenten beter dan de interne persoon. Maar zoals je zegt is ook daarom continu scholen heel belangrijk.

    Bij prioriteren van gelijktijdige incidenten, kun je bij een externe FG misschien nog snel iemand bijschakelen zodat er bijv. gelijktijdig datalekken gemeld kunnen worden vanuit meerdere organisaties binnen een concern.

    Klinkt alsof jullie er goed op zitten en mocht er nog behoefte zijn om te sparren, extra scholing of toch een externe FG als adviseur, dan weet je ons te vinden.

  3. Interessant stuk! Alhoewel de Article29WP aangeeft dat het in principe geen probleem is om een FG/DPO rol te combineren met andere werkzaamheden, vraag ik mij toch af in hoeverre bepaalde combinaties niet voor mogelijke belangenverstrengeling en/of conflicten kan zorgen. Het is “logisch” om te denken dat iemand van de legal counsel “ook” FG kan zijn, maar ik zie steeds meer dat de rol van FG gecombineerd wordt met die van CISO/CIO. Dan zit je zowel in het juridisch kader, als in de uitvoerende/maatregelen kant, dit kan soms botsen.

    Aan de andere kant is het wél zo dat het gewenst is dat een FG niet een “pure” jurist is, maar iemand die (ook) verstand heeft van de maatregelen etc.

    Hoe kijken jullie hier tegenaan?

    1. Beste Alexander,

      Uit de richtlijnen van de Artikel 29-werkgroep (WP29) blijkt niet dat de functie van FG/DPO als zodanig niet verenigbaar is met de functie van CISO/CIO.
      Wel is het zo dat de DPO/FG geen positie mag hebben waarbij hij/zij bepaalt voor welke doelen persoonsgegevens worden verwerkt, en met welke middelen.
      Per organisatie verschilt het wie bij deze beslissingen een bepalende rol hebben, volgens WP29.

      Vriendelijke groet,

      Fay Kartner

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *