We zijn slechts een halfjaar verwijderd van de datum waar al geruime tijd veel over wordt gepraat en geschreven: 25 mei 2018. Oftewel, het moment waarop de Algemene Verordening Gegevensbescherming (AVG) van kracht wordt. Eén van de verplichtingen die de nieuwe privacyverordening met zich meebrengt, is het aanstellen van een Functionaris Gegevensbescherming (FG). Hoe gaat dit er in de praktijk van de lokale overheid aan toe? In deze blog proberen we daar wat zicht op de krijgen.

Wat doet een FG?

De FG is niet alleen verantwoordelijk voor het toezicht houden op de naleving van de privacywetten en -regels, maar ook voor het inventariseren en bijhouden van gegevensverwerkingen en het afhandelen van vragen en klachten van mensen binnen én buiten de organisatie. Daarnaast kan de FG ondersteunen bij het ontwikkelen van interne regelingen, het adviseren over privacy op maat en het leveren van input bij het opstellen of aanpassen van gedragscodes. Voor meer zicht op de taken en verantwoordelijkheden van de FG kijk ook eens naar de handreikingen van KING. En uiteraard kun je kijken in de AVG teksten zelf: artikel 37.

Gewenst of verplicht?

Vanuit de Wbp is het aanstellen van een FG optioneel, maar dit verandert voor overheidsorganisaties vanaf het moment dat de AVG van kracht is. De verplichting een gekwalificeerde FG aan stellen komt uit de AVG, maar is geconcretiseerd door de WP29 en inmiddels ook de Spaanse toezichthouder. Dan gaat het onder meer over eisen aan de kennis, kunde en ervaring van de FG. In de praktijk willen en/of kunnen veel gemeenten niet aan deze eisen voldoen. Willen en kunnen zijn twee verschillende begrippen. En zeker, willen betekent niet per sé kunnen. Maar niet kunnen betekent niet per sé niet (moeten) willen. De AVG is immers niet optioneel.

Helaas, het tekort aan kennis, kunde en de schaarste op de arbeidsmarkt zorgen er namelijk voor dat het risico bestaat dat onder-gekwalificeerde mensen aangesteld (gaan) worden als FG. Ik sluit me aan bij Youri Lammerts van Bueren die aanstipt dat het aanstellen van een FG in het stappenplan van de AVG op zichzelf een weinig-zeggende stap is. Niet het aanstellen van een FG moet centraal staan, maar de manier waarop de gehele organisatie bezig is met privacy zou de volle aandacht moeten hebben. Daar hoort een FG zeker wél bij, of je het nu leuk vindt of niet. En die FG moet aan eisen voldoen.

De CISO biedt uitkomst!

Maar als het aanstellen van een FG verplicht is, en het vinden van een geschikte kandidaat te vergelijken is met het zoeken naar een speld in een hooiberg, hoe los je dit dan op? Op het eerste gezicht lijkt het een mogelijkheid om het takenpakket van de CISO uit te breiden met de taken van de FG. Inderdaad, hier heb ik het al over gehad in een eerdere blog. Naast dat dit vanuit capaciteitsoogpunt in veel gevallen onhaalbaar is, loop je ook tegen de verplichte onafhankelijkheid van de FG aan. Ondanks dit zijn zowel de IBD als KING niet tegen een combinatie van beide functies. Dit zie je ook terug in de handreikingen van KING. Pragmatisch realisme noem ik dat. Mooi, maar wel op gespannen voet met de AVG. De functie houdt echter meer in dan wordt beschreven in de handreikingen. Meer daarover is te lezen in deze blog van Auke ten Hoeve.

Een FG ben je zomaar niet

In de AVG staat beschreven dat de FG dient te worden aangewezen op grond van zijn/haar professionele kwaliteiten en zijn/haar deskundigheid op het gebied van wetgeving en de praktijk inzake gegevensbescherming. Betekent dit dan dat we in praktijk, gezien het tekort aan gekwalificeerde personen, niet in lijn met de AVG kúnnen handelen? Immers, gemeenten willen wel een goed gekwalificeerde (naar AVG maatstaven) FG, maar vanwege omstandigheden op de arbeidsmarkt kunnen ze deze niet altijd vinden. Er is dus een praktische noodzaak bij gemeenten om ‘genoegen te nemen’ met minder.

Daarbij zet KING laag in kijkend naar de duiding van WP29 op (o.a.) artikel 37 uit de AVG. Wel moet ik toevoegen dat het te prijzen is dat KING als eerste in ieder geval een standpunt in durfde te nemen. We kunnen vast binnenkort een nieuwe versie van de handreikingen tegemoet zien. Voor nu kunnen we concluderen dat we naar de maat van KING genoegen kunnen nemen met minder (of: te weinig). Onlangs heeft de Spaanse toezichthouder de AVG als eerste vertaald naar concrete FG-eisen. Da’s toch wel even andere koek..

Conclusie

Ja, pragmatisme past de gemeenten in een krappe arbeidsmarkt waar ze niet een concurrerend salaris kan bieden ten opzicht van de commerciële markt. Dit is echter is een breder probleem. Ik heb begrip voor het realisme dat KING laat zien op dit vlak, maar laten we als gemeenten niet uit het oog verliezen wat de AVG voorschrijft. De huidige zienswijze op de ‘zwaarte’ van de FG staat hiermee op gespannen voet. Laten we onszelf niet voor de gek houden, de privacy van onze burgers verdient meer dan dat. Zet dus niet te laag in bij het werven/aanstellen van een FG!