De AVG brengt de verplichte FG: blij mee?


We zijn slechts een halfjaar verwijderd van de datum waar al geruime tijd veel over wordt gepraat en geschreven: 25 mei 2018. Oftewel, het moment waarop de Algemene Verordening Gegevensbescherming (AVG) van kracht wordt. Eén van de verplichtingen die de nieuwe privacyverordening met zich meebrengt, is het aanstellen van een Functionaris Gegevensbescherming (FG). Hoe gaat dit er in de praktijk van de lokale overheid aan toe? In deze blog proberen we daar wat zicht op de krijgen.

Wat doet een FG?

De FG is niet alleen verantwoordelijk voor het toezicht houden op de naleving van de privacywetten en -regels, maar ook voor het inventariseren en bijhouden van gegevensverwerkingen en het afhandelen van vragen en klachten van mensen binnen én buiten de organisatie. Daarnaast kan de FG ondersteunen bij het ontwikkelen van interne regelingen, het adviseren over privacy op maat en het leveren van input bij het opstellen of aanpassen van gedragscodes. Voor meer zicht op de taken en verantwoordelijkheden van de FG kijk ook eens naar de handreikingen van KING. En uiteraard kun je kijken in de AVG teksten zelf: artikel 37.

Gewenst of verplicht?

Vanuit de Wbp is het aanstellen van een FG optioneel, maar dit verandert voor overheidsorganisaties vanaf het moment dat de AVG van kracht is. De verplichting een gekwalificeerde FG aan stellen komt uit de AVG, maar is geconcretiseerd door de WP29 en inmiddels ook de Spaanse toezichthouder. Dan gaat het onder meer over eisen aan de kennis, kunde en ervaring van de FG. In de praktijk willen en/of kunnen veel gemeenten niet aan deze eisen voldoen. Willen en kunnen zijn twee verschillende begrippen. En zeker, willen betekent niet per sé kunnen. Maar niet kunnen betekent niet per sé niet (moeten) willen. De AVG is immers niet optioneel.

Helaas, het tekort aan kennis, kunde en de schaarste op de arbeidsmarkt zorgen er namelijk voor dat het risico bestaat dat onder-gekwalificeerde mensen aangesteld (gaan) worden als FG. Ik sluit me aan bij Youri Lammerts van Bueren die aanstipt dat het aanstellen van een FG in het stappenplan van de AVG op zichzelf een weinig-zeggende stap is. Niet het aanstellen van een FG moet centraal staan, maar de manier waarop de gehele organisatie bezig is met privacy zou de volle aandacht moeten hebben. Daar hoort een FG zeker wél bij, of je het nu leuk vindt of niet. En die FG moet aan eisen voldoen.

De CISO biedt uitkomst!

Maar als het aanstellen van een FG verplicht is, en het vinden van een geschikte kandidaat te vergelijken is met het zoeken naar een speld in een hooiberg, hoe los je dit dan op? Op het eerste gezicht lijkt het een mogelijkheid om het takenpakket van de CISO uit te breiden met de taken van de FG. Inderdaad, hier heb ik het al over gehad in een eerdere blog. Naast dat dit vanuit capaciteitsoogpunt in veel gevallen onhaalbaar is, loop je ook tegen de verplichte onafhankelijkheid van de FG aan. Ondanks dit zijn zowel de IBD als KING niet tegen een combinatie van beide functies. Dit zie je ook terug in de handreikingen van KING. Pragmatisch realisme noem ik dat. Mooi, maar wel op gespannen voet met de AVG. De functie houdt echter meer in dan wordt beschreven in de handreikingen. Meer daarover is te lezen in deze blog van Auke ten Hoeve.

Een FG ben je zomaar niet

In de AVG staat beschreven dat de FG dient te worden aangewezen op grond van zijn/haar professionele kwaliteiten en zijn/haar deskundigheid op het gebied van wetgeving en de praktijk inzake gegevensbescherming. Betekent dit dan dat we in praktijk, gezien het tekort aan gekwalificeerde personen, niet in lijn met de AVG kúnnen handelen? Immers, gemeenten willen wel een goed gekwalificeerde (naar AVG maatstaven) FG, maar vanwege omstandigheden op de arbeidsmarkt kunnen ze deze niet altijd vinden. Er is dus een praktische noodzaak bij gemeenten om ‘genoegen te nemen’ met minder.

Daarbij zet KING laag in kijkend naar de duiding van WP29 op (o.a.) artikel 37 uit de AVG. Wel moet ik toevoegen dat het te prijzen is dat KING als eerste in ieder geval een standpunt in durfde te nemen. We kunnen vast binnenkort een nieuwe versie van de handreikingen tegemoet zien. Voor nu kunnen we concluderen dat we naar de maat van KING genoegen kunnen nemen met minder (of: te weinig). Onlangs heeft de Spaanse toezichthouder de AVG als eerste vertaald naar concrete FG-eisen. Da’s toch wel even andere koek..

Conclusie

Ja, pragmatisme past de gemeenten in een krappe arbeidsmarkt waar ze niet een concurrerend salaris kan bieden ten opzicht van de commerciële markt. Dit is echter is een breder probleem. Ik heb begrip voor het realisme dat KING laat zien op dit vlak, maar laten we als gemeenten niet uit het oog verliezen wat de AVG voorschrijft. De huidige zienswijze op de ‘zwaarte’ van de FG staat hiermee op gespannen voet. Laten we onszelf niet voor de gek houden, de privacy van onze burgers verdient meer dan dat. Zet dus niet te laag in bij het werven/aanstellen van een FG!

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

BIO voor applicatiebeheerders

Kijk voor meer informatie op onze website

Meer blogs lezen

De AVG versus de Wet politiegegevens (Wpg)

: Naast de AVG hebben politie en justitie te maken met de Wet politiegegevens (Wpg). Maar ook als gemeente heb je te maken met de Wpg, namelijk bij het werk van Buitengewoon opsporingsambtenaren (Boa’s). In deze blog leggen we uit hoe de AVG en Wp…

Implementatie van BCM – voorkomen is beter dan genezen

Om te voorkomen dat je kritische bedrijfsprocessen stilvallen, is het slim om potentiële bedreigingen vroegtijdig in kaart te brengen en een inschatting te maken van het effect van elke bedreiging op deze kritische processen. Dit proces noemen we …

Voldoe je als gemeente aan de AVG?

Veel gemeenten hebben zich de afgelopen jaren met de AVG beziggehouden om ervoor te zorgen dat zij AVG-proof zijn. Met de AVG ben je alleen nooit ‘klaar’. Privacy is namelijk een continu proces. Maar hoe weet je of je als gemeente voldoet aan de AVG?

Behaviour by Design?

Alleen technische beveiligingsmaatregelen nemen om incidenten te voorkomen is nooit genoeg. Uiteindelijk draait het om het gedrag van mensen. Maar hoe zorg je voor bewuste medewerkers? Ofwel, hoe maak je bewustwording tot een succes?

Gezichtsherkenning een inbreuk op de privacy?

Gezichtsherkenning is een methode om de identiteit van personen te ontdekken of te controleren aan de hand van hun gezicht. Privacyorganisaties maken zich zorgen over de opmars van slimme camera’s met gezichtsherkenning. Want hoe zit het met het w…

Wanneer gebruik je BBN2+?

Binnen de BIO wordt gebruik gemaakt van drie basisbeveiligingniveaus, ook wel BBN’s genoemd. Voor de meeste informatiesystemen is BBN2 voldoende. Maar het kan voorkomen dat een gemeentelijk informatiesysteem een hoger beschermingsniveau nodig heef…