Door de toenemende aandacht voor privacy, stellen steeds meer organisaties een Functionaris Gegevensbescherming (FG) aan. Eerder schreven we al over de Artikel 29-werkgroep richtsnoeren voor een FG. Onder de Algemene Verordening Gegevensbescherming (AVG ook GDPR genoemd) wordt dit voor bepaalde organisaties ook verplicht. Maar stel je die functionaris intern of extern aan?
Het is een relatief nieuwe functieomschrijving, die nog een aantal vragen oproept. Ook wanneer al is vastgesteld dat het verplicht of wenselijk is om iemand de taak toe te bedelen en toe te zien op de omgang met persoonsgegevens. Want benoem je iemand binnen je eigen organisatie tot FG (ook wel 'Privacy Officer' of 'Data Protection Officer' genoemd)? Of leg je deze taken neer bij een externe Functionaris Gegevensbescherming? Aan beide opties zitten voor- en nadelen, die in dit artikel zullen worden uitgelegd.
De voor- en nadelen van een interne Functionaris Gegevensbescherming
Misschien is er iemand binnen de organisatie voor wie de juiste omgang met persoonsgegevens al op een logische manier binnen het takenpakket past. Bijvoorbeeld een jurist die kennis van privacywetgeving heeft, of deze privacykennis op wil doen. Een dergelijk persoon kan deze taken dan relatief gemakkelijk oppakken binnen zijn/haar huidige functie.
Voordelen van een interne Functionaris Gegevensbescherming:
- Een concern kan gezamenlijk één FG instellen, mits er vanuit elke vestiging gemakkelijk contact kan worden opgenomen met deze functionaris.
- Wanneer de functie perfect past bij het kennisniveau en het takenpakket van een interne medewerker en daarnaast de interne ambities, ontwikkelingen en privacygevoelige zaken passen bij de beschikbaarheid van deze persoon, dan kan dit goedkoper zijn dan extern inhuren.
- De organisatie is bovendien al bekend met deze persoon. Het is dan zeer gemakkelijk om snel te schakelen wanneer er een privacyvraag speelt. Zo kan snel duidelijkheid worden gekregen en doorgegaan worden met het ontwikkelen van producten of diensten, rekening houdend met het privacyadvies.
Nadelen van een interne Functionaris Gegevensbescherming:
- Voor veel bedrijven die geen multinational zijn, is de functie van FG niet fulltime. De betreffende taken zullen dan dus bovenop de werkzaamheden van een bestaande medewerker komen. Het kan dan enige opstarttijd vergen voordat de taken op een juiste manier zijn opgepakt.
- Vaak zal een vorm van training nodig zijn om iemand zijn taken als FG naar behoren te kunnen laten uitoefenen. Wanneer een FG op grond van de AVG verplicht is, zijn er ook eisen aan zijn kennis gesteld. Hij moet immers een juridisch juiste beoordeling kunnen maken van de bedrijfsactiviteiten onder de privacywetgeving.
- Een ander vereiste uit de AVG is dat een FG onafhankelijk moet zijn. Dat is lastiger wanneer het een interne medewerker is die al een geschiedenis binnen het bedrijf heeft. Het kan dan minder gemakkelijk voor diegene zijn om zich onbevooroordeeld uit te spreken over de privacygevolgen van een project. Hij is immers meer onderdeel van de organisatiestructuur en -geschiedenis.
De voor- en nadelen van een externe Functionaris Gegevensbescherming
Voordelen van een externe Functionaris Gegevensbescherming:
- Wanneer een FG extern wordt aangesteld, heeft dit als voordeel dat hij meteen de juiste expertise heeft. Er zijn dan ook geen opleidingskosten om de juiste kennis in de organisatie te krijgen.
- De externe FG is geen werknemer van de organisatie voor wie hij de privacyzaken regelt, wat kosten en administratieve lasten kan besparen.
- Een externe FG biedt flexibiliteit. Er wordt alleen betaald voor de werkzaamheden die worden uitgevoerd. De kosten ervan verschillen per organisatie, en naar gelang de wensen van de organisatie. Soms zijn er vele privacy-uitdagingen tegelijk, en dan neemt de hoeveelheid vragen weer af.
- De volledige focus van de externe FG ligt bij privacy. Hij heeft de zorg voor een goede omgang met persoonsgegevens dus niet zomaar ‘erbij gekregen’ als taak naast andere werkzaamheden. Dit vergemakkelijkt ook het onafhankelijk opereren van het bestuur. De AVG heeft deze onafhankelijkheid immers hoog in het vaandel staan.
- Het is ook op deze manier mogelijk om met meerdere organisaties in een branche vergelijkbare privacy-aanpassingen en 'best practices' te maken en kosten hiervan te delen.
- Een externe FG wordt meestal gevoed door een organisatie en netwerk van mede-experts en kan daardoor snel vat krijgen op wetswijzigingen.
Nadelen van een externe Functionaris Gegevensbescherming:
- De externe FG kent nog niet alle ins en outs van gebruikte tools en software binnen een organisatie en de mogelijke (privacy)risico’s. Hij kan deze echter wel inventariseren, waardoor binnen relatief korte tijd een inzicht in de privacygevoelige activiteiten van een bedrijf kan worden verkregen.
- De externe FG is misschien minder bekend met een specifieke branche. Dit kan ook juist een voordeel zijn omdat er dan met frisse ogen naar werkwijzen, processen en tools en software wordt gekeken.
Intern of extern aanstellen Functionaris Gegevensbescherming hangt sterk af van soort organisatie
Wanneer een Functionaris Gegevensbescherming wordt aangesteld, kan dit zowel een persoon van binnen de organisatie zijn, als een extern persoon. Wat de meest geschikte keuze is, hangt af van de activiteiten, de beschikbare kennis en mankracht binnen een organisatie, het budget en de wensen van een organisatie. Het is dus belangrijk om de voor- en nadelen van de verschillende opties zorgvuldig af te wegen.
Fotocredit: Webnerd.eu - Flickr cc0
Functionaris Gegevensbescherming opleiden of inhuren?
ICTRecht biedt een tweedaagse juridische opleiding voor Functionarissen Gegevensbescherming (met of zonder juridische achtergrond). Mocht er meteen behoefte zijn aan een deskundige Functionaris Gegevensbescherming dan heeft ICTRecht hiervoor specialisten beschikbaar die uw organisatie op afstand of gedetacheerd kunnen ondersteunen.
