Als gemeente heb je een grote verantwoordelijkheid als het gaat om het veilig omgaan met (persoons)gegevens. Activiteiten op privacyvlak moeten dan ook goed worden gecoördineerd én belegd. Als het gaat om privacy zijn diverse functies te onderscheiden. Zo spreken we over de ‘Functionaris Gegevensbescherming (FG)’ en de ‘Privacy Officer (PO)’. Maar wie is waarvoor verantwoordelijk? Hoe verhouden deze functies zich tot elkaar? En wat zijn de verschillen?
De Functionaris Gegevensbescherming
De Algemene Verordening Gegevensbescherming (AVG) verplicht gemeenten om een Functionaris Gegevensbescherming (FG) aan te stellen als zij verwerker of verwerkingsverantwoordelijke zijn. De FG is de interne toezichthouder en heeft o.a. de volgende kerntaken:
*Data protection impact assessment (DPIA)
Een DPIA is verplicht voor verwerkingen met een verhoogd privacyrisico. De verwerkingsverantwoordelijke moet bij de uitvoering van een DPIA advies vragen van de FG. Bij deze advisering kan het gaan om: of er al dan niet een DPIA moet worden uitgevoerd; welke methodologie moet worden uitgevoerd; of de DPIA intern kan worden uitgevoerd, of zou moeten worden uitbesteed; welke maatregelen moeten worden toegepast et cetera. In tegenstelling tot wat in de praktijk vaak wordt gedacht, is de FG in principe dus niet betrokken bij de uitvoering van een DPIA, zodat hij vrij is om te adviseren over de uitkomsten daarvan. Wel moet de FG toezien op de uitvoering van zijn advies.
De adviezen en aanwijzingen die de FG geeft zijn niet geheel vrijblijvend en ook niet altijd gewenst. Daarom is het belangrijk dat de FG een bepaalde mate van bescherming heeft. De FG heeft daarom ontslagbescherming en de dienstverleningsovereenkomst mag niet op oneigenlijke gronden worden beëindigd (bij een externe FG). De FG heeft echter geen veto recht. Het bestuur heeft zelf de verantwoordelijkheid om het FG-advies op te volgen of naast zich neer te leggen.
De Privacy Officer
De Privacy Officer (PO) is verantwoordelijk voor het actualiseren en bewaken van het privacybeleid binnen de gemeente en het ondersteunen van de uitvoering. Deze functie kan per gemeente verschillen. Zo is in sommige gevallen de functie vooral juridisch van aard (deze PO’s hebben ook vaak een juridische achtergrond) en in andere gevallen meer coördinerend. Sommige grote gemeenten hebben zelfs nog een Chief Privacy Officer (CPO) die sturing geeft aan het privacyteam (de PO’s). De PO werkt nauw samen met de FG en Chief Information Security Officer (CISO) en heeft o.a. de volgende kerntaken:
De verschillen?
Het belangrijkste en grootste verschil is dat de PO niet beschikt over toezichthoudende bevoegdheden. Zoals je hierboven hebt kunnen lezen is ten opzichte van de FG de functie van de PO veel praktischer van aard. De PO heeft veel meer een operationeel/uitvoerende rol:
Combineren of niet?
Beide functies zijn sterk met elkaar verbonden en er zit ook wat overlap in (met name adviseren). Waarom zou je deze functie(s) dan niet combineren is vaak de gedachte? Zeker kleinere gemeenten, waar deze rollen geen fulltime functie behelzen, zijn geneigd deze functie(s) te combineren. Toch is het niet wenselijk dit te doen, gezien de risico’s die hieraan kleven: de taken van de PO kunnen namelijk conflicteren met de toezichthoudende rol van de FG en daarvoor vereiste onafhankelijkheid. Indien nodig moet de FG kunnen optreden, bijvoorbeeld een zelfstandig onderzoek uitvoeren naar aanleiding van bijvoorbeeld een klacht. Hij is daarmee het verlengde van de Autoriteit Persoonsgegevens (AP). Dit wordt lastig op het moment dat je je ‘eigen vlees moet keuren’ en je kan daarmee de geloofwaardigheid en betrouwbaarheid van de FG schaden. Het is daarom belangrijk dat de onafhankelijke positionering van de FG gewaarborgd blijft. Tot slot, zien we in praktijk dat veel PO’s een hoge werkdruk hebben. Combineer je deze rol dan is het de vraag of je wel voldoende ruimte/tijd hebt om beide taken ook naar behoren uit te voeren. De kans is groot dat je als FG/PO met name bezig bent met het geven van voorlichting en het adviseren bij privacyvraagstukken, in plaats van het uitvoeren van objectieve controles. Wel is het belangrijk dat de FG en PO goed op elkaar zijn ingespeeld.
Kortom, als we naar beide rollen kijken kunnen we concluderen dat als het gaat om privacy de uitvoering, het advies en toezicht binnen de AVG gescheiden is. Wel kan, afhankelijk van de grote van de gemeente, de rol van FG in deeltijd uitgevoerd worden. Combineer deze functie dan niet met de PO-functie, maar onderzoek de mogelijkheid om met meerdere gemeenten, bijvoorbeeld in regionale opzet, één FG aan te stellen. Je kunt ook overwegen om een parttime PO of FG extern in te huren. In sommige gevallen is dat goedkoper dan zelf de benodigde kennis en competenties up-to-date te houden.
Meer informatie?
Heb je na het lezen van deze blog vragen ff wil je (tijdelijk) een FG of Privacy Officer inhuren? Laat ons dit dan weten en neem contact met ons op.
Overal waar in deze blog hij of zijn staat, kun je ook zij of haar lezen.
Om een in-house cursus in te plannen, neem contact met ons op!
Copyright © 2014 - 2021 IB&P B.V.
algemene voorwaarden - privacyverklaring.
responsible disclosure - sitemap