Met de groeiende impact van nieuwe technologieën op de omgang met privacy, is goed toezicht op het gebruik ervan essentieel. De toenemende inzet van technologieën zoals AI, vraagt daarbij toezicht dat gebaseerd is op een breed (juridisch) kader. En dat vraagt nogal wat van de FG, zoals de afkorting voor de interne privacytoezichthouder: Functionaris Gegevensbescherming, luidt.
Het spreekt dus voor zich dat een organisatie niet zomaar ‘jan-en-alleman’ kan aanstellen om FG te worden. Ook omdat de AP strenge eisen aan de vaardigheden en kennis van een aangemelde FG stelt. De FG moet aan de ene kant voldoende juridische kennis hebben: hij/zij moet goed op de hoogte zijn van Europese en nationale privacy wet- en regelgeving. Ook is het aanbevolen dat de FG over de vaardigheden beschikt om bij te dragen aan het niveau van gegevensbescherming, bijvoorbeeld door middel van het op poten zetten van adequate beveiliging van het verwerkingsproces en het eventueel opstellen en bijhouden van een verwerkingsregister.
Aan de andere kant moet een FG voldoende expertise hebben in de sector waarin de organisatie actief is en moet hij/zij voldoende kaas hebben gegeten van informatietechnologie in het algemeen. Het hangt van de organisatie af welke specifieke kennis daadwerkelijk nodig is. Zo zal een FG in bepaalde sectoren over de nodige dosis vakkennis moeten beschikken. Het ontberen van deze deskundigheid is dan een duidelijke ‘no go’ voor de FG. Deze eisen kunnen een uitdaging vormen voor bedrijven, zeker voor organisaties binnen specialistische en vergaand gedigitaliseerde branches.
Naast de bovenstaande inhoudelijke eisen moet de FG ook een onafhankelijke positie bekleden in het bedrijf. De FG moet iemand zijn die daadwerkelijk melding kan maken van zwakke punten in de organisatie met betrekking tot de verwerking en beveiliging van persoonsgegevens. De FG mag daarbij niet gehinderd worden door gezagsstructuren of hiërarchische verhoudingen. Het is bijvoorbeeld niet de bedoeling dat een ondergeschikte van de ICT-afdeling aangemeld wordt bij de AP als FG, omdat op deze manier de afstand van de FG tot het daadwerkelijke bestuur van de organisatie te groot is: de FG moet direct verslag uit kunnen brengen aan de directie. Ook mag de FG geen instructies krijgen van de bedrijfsleiding of het management en kan hij niet ontslagen worden als gevolg van de uitoefening van de taken die hij uitvoert of de mogelijk ‘ongewenste’ adviezen die hij geeft.
Het is belangrijk om te onthouden dat de FG niet zelf aansprakelijk wordt gehouden door de AP op het moment dat de organisatie de AVG niet naleeft. Het naleven van de AVG blijft namelijk de verantwoordelijkheid van de organisatie zelf. De FG wordt geacht hierbinnen slechts een ondersteunende functie te hebben.
Met het bovenstaande in het achterhoofd is het belangrijk om op zoek te gaan naar het antwoord op de vraag: welke werkzaamheden voert de FG daadwerkelijk uit om toezicht te kunnen houden op de juiste naleving van de privacywetgeving?
De FG gaat ten eerste zelfstandig op zoek naar informatie over de gegevensverwerkingen binnen de organisatie en beoordeelt of deze verwerkingen aan de AVG voldoen. Op basis van de uitkomst van deze beoordeling rapporteert de FG aan de leiding van de organisatie. Voor deze informatievergaring en beoordeling moet de organisatie de FG voldoende middelen ter beschikking stellen. De Autoriteit Persoonsgegevens raadt aan om de FG in ieder geval voldoende tijd te geven om zijn of haar taken uit te voeren, om te zorgen voor scholing en trainingen (en hier voldoende budget voor vrij te maken), om faciliteiten en personeel vrij te maken voor de werkzaamheden en bovendien altijd actieve ondersteuning te bieden vanuit het management.
Daarnaast is de organisatie bij het uitvoeren van een data protection impact assessment (DPIA) verplicht om advies te vragen aan de FG. Deze DPIA kan namelijk noodzakelijk zijn wanneer een organisatie besluit gebruik te maken van nieuwe technologie voor het verwerken van persoonsgegevens, of wanneer het op grote schaal bijzondere persoonsgegevens gaat verwerken. In zijn of haar advies dient de FG o.a. in te gaan op de noodzaak van het uitvoeren van de DPIA en de methodiek die voor de DPIA gebruikt moet worden. Na de DPIA vindt er een terugkoppeling plaats waarbij de FG onder meer aangeeft of alles goed is verlopen en of de uitkomst van de DPIA in lijn is met de AVG. Er moeten goede argumenten aangevoerd worden door de organisatie, mocht deze willen afwijken van dit advies van de FG.
Tot slot is de FG natuurlijk ook het aanspreekpunt voor de AP. In het geval er een datalek gemeld dient te worden, dan zal de FG hierover adviseren, en wanneer zo afgesproken ook de melding verzorgen en het verdere contact (hierover) onderhouden met de AP. Het is daarmee belangrijk en verplicht om de FG aan te melden bij de AP en zijn/haar contactgegevens te publiceren op de eigen website.
Volg dan de Praktijkopleiding tot Functionaris Gegevensbescherming.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.