De komst van de Algemene Verordening Gegevensbescherming (AVG) bracht ook de verplichte Functionaris voor de Gegevensbescherming (FG) met zich mee. De FG is de interne toezichthouder en dus verantwoordelijk voor, de naam zegt het al, het toezicht houden op de naleving van de privacywetten en –regels en heeft ook de taak om de organisatie hierop te controleren. Maar hoe doe je dat eigenlijk, toezicht houden?

Takenpakket FG

Als gemeente ben je vanuit de AVG verplicht om een FG aan te stellen. De FG kijkt kritisch naar hoe de gemeente omgaat met persoonsgegevens en rapporteert hierover aan het college en de gemeentesecretaris. De FG heeft verschillende taken, zoals het inventariseren en bijhouden van de gegevensverwerkingen binnen de organisatie, vragen en klachten van mensen binnen én buiten de organisatie afhandelen, ondersteunen bij het ontwikkelen van interne regelingen, adviseren over privacy op maat en input leveren bij het opstellen of aanpassen van gedragscodes. Daarnaast heeft de FG, zoals in artikel 39.1.b van de wet wordt aangegeven, ook de taak opgelegd gekregen om ‘de naleving van de AVG te controleren’. In overweging 97 wordt verder gespecificeerd dat de FG ‘de verwerkingsverantwoordelijke of verwerker [moet bijstaan] bij het toezicht op de interne naleving van deze verordening’. Maar hoe ziet deze toezichthoudende rol eruit? In deze blog gaan we hier verder op in.

Toezicht houden

De rol die de FG heeft met betrekking tot de controle op de naleving van de wet bestaat hoofzakelijk uit drie taken, te weten:

1.Verzamel informatie over de gegevensverwerkingen binnen de organisatie

De AVG verplicht gemeente om al hun verwerkingen van persoonsgegevens bij te houden in een eigen register, een zogeheten verwerkingsregister. In dit register worden zaken vastgelegd zoals: het doel van de verwerkingsactiviteiten, een omschrijving van de categorieën van persoonsgegevens die je verwerkt, de categorieën ontvangers van de persoonsgegevens, de bewaartermijn van de gegevens en de technische en organisatorische maatregelen om de gegevens te beschermen et cetera. Hoe je een verwerkingsregister moet invullen, kun je lezen in onze eerdere blog. Als FG van een gemeente heb je, als het goed is, toegang tot dit verwerkingsregister. Op basis van dit register krijg je als FG een goed beeld van waar de cruciale systemen van de organisatie zich bevinden, bijvoorbeeld binnen welke processen. Het is aan te raden om als FG op basis van dit register een top 10 (of top 5) van processen en/of systemen te definiëren die een hoog risicoprofiel hebben als het gaat om privacy. Wat het risicoprofiel is van een proces of systeem kun je bepalen aan de hand van een Data Protection Impact Analysis, ook wel DPIA’s genoemd. Zijn er binnen jouw gemeente nog geen DPIA’s uitgevoerd op cruciale systemen? Dan is het aan te raden om als FG te verzoeken dat dit alsnog wordt gedaan. Dit om mogelijke privacy-risico’s goed op het netvlies te hebben. Binnenkort zullen wij nog een blog schrijven over het uitvoeren van DPIA’s.

Daarnaast kun je jaarlijks een analyse uitvoeren op het datalekkenregister en hieruit bepaalde conclusies trekken met betrekking tot de risico’s van verwerkingen. Waar hebben zich de meeste datalekken voorgedaan? Wat waren de meest voorkomende soorten datalekken? Welke maatregelen zijn hier vervolgens opgenomen en waaruit blijkt dat deze maatregelen ook effectief zijn? Et cetera.

2. Analyseer en beoordeel of de verwerkingen aan de wet voldoen.

Om te beoordelen of de verwerkingen binnen de organisatie aan de wet voldoen is het mogelijk om de top 10 die je hebt gedefinieerd van processen en/of systemen met een hoog risicoprofiel, steekproefsgewijs te toetsen. Dit kan op twee manieren. Je kunt bijvoorbeeld als FG zelf een controlelijst opstellen op basis van de AVG wetgeving, of je kunt hierbij gebruik maken van een praktisch hulpmiddel, namelijk van bestaande Privacy Control Frameworks (PCF). Een PCF geeft een overzicht van de technische en organisatorische maatregelen die genomen moeten worden en kan op die manier doorlopen worden. Zo krijg je als FG een goed beeld van wat de gemeente al gedaan heeft en wat er nog ingeregeld moet worden om aantoonbaar aan de AVG te voldoen. Uiteraard heb je als FG ook de resultaten van de uitvoerde DPIA’s, die ook goed inzicht kunnen geven in hoeverre bepaalde systemen aan de wet voldoet.

3. Geef informatie, adviezen en aanbevelingen aan de organisatie

De bovenstaande steekproeven geven je als FG een goed beeld van hoe de organisatie ervoor staat als het gaat om het naleven van de privacywetgeving. Op basis hiervan kun je de organisatie vervolgens gericht adviseren over de wijze waarop processen, waar nodig, kunnen worden verbeterd om te voldoen aan de AVG. Dit advies kan bestaan uit aanbevelingen voor nieuwe maatregelen die genomen moeten worden, of mogelijkheden om bestaande maatregelen te verbeteren.

Tot slot, en niet geheel onbelangrijk, is de positie van de FG. De FG heeft namelijk een onafhankelijke positie en is niet persoonlijk aansprakelijk wanneer er binnen zijn organisatie een overtreding van de privacywet is. Het college of de gemeentesecretaris is hierin altijd eindverantwoordelijk.

Heb je naar aanleiding van deze blog vragen of hulp nodig om op dit punt verder te komen binnen jouw gemeente? Neem dan gerust contact met ons op.