Functionaris Gegevensbescherming versus Privacy Officer – wie doet wat?
Als gemeente heb je een grote verantwoordelijkheid als het gaat om het veilig omgaan met (persoons)gegevens. Activiteiten op privacyvlak moeten dan ook goed worden gecoördineerd én belegd. Als het gaat om privacy zijn diverse functies te onderscheiden. Zo spreken we over de ‘Functionaris Gegevensbescherming (FG)’ en de ‘Privacy Officer (PO)’. Maar wie is waarvoor verantwoordelijk? Hoe verhouden deze functies zich tot elkaar? En wat zijn de verschillen?
De Functionaris Gegevensbescherming
De Algemene Verordening Gegevensbescherming (AVG) verplicht gemeenten om een Functionaris Gegevensbescherming (FG) aan te stellen als zij verwerker of verwerkingsverantwoordelijke zijn. De FG is de interne toezichthouder en heeft o.a. de volgende kerntaken:
- Hij is verantwoordelijk voor het toezicht houden op de naleving van de privacywet en -regelgeving én heeft de taak om de gemeente hierop te controleren.
- Hij is verantwoordelijk voor het toezicht houden op de gegevensverwerkingen binnen de organisatie, is er bijvoorbeeld een verwerkingsregister?
- Hij is contactpunt voor betrokken, bijvoorbeeld bij het afhandelen van vragen en klachten van mensen binnen én buiten de organisatie.
- Hij geeft (gevraagd en ongevraagd) advies aan de organisatie. Bijvoorbeeld voorafgaand aan een DPIA*, bij technische beveiligingsmaatregelen omtrent gegevensverwerkingen, naar aanleiding van audits en bij het al dan niet melden van (voorlopige) meldingen van datalekken bij de Autoriteit Persoonsgegevens (AP).
- Hij is eerste aanspreekpunt voor de AP. Daarom is het van belang dat de AP beschikt over de contactgegevens van de FG. Dit is ook een verplichting vanuit de AVG. Ook omdat de AP dan contact kan opnemen met de FG naar aanleiding van klachten.
- De FG adviseert en rapporteert over zijn werkzaamheden aan het college van Burgemeester en Wethouders (B&W) en de gemeentesecretaris.
*Data protection impact assessment (DPIA)
Een DPIA is verplicht voor verwerkingen met een verhoogd privacyrisico. De verwerkingsverantwoordelijke moet bij de uitvoering van een DPIA advies vragen van de FG. Bij deze advisering kan het gaan om: of er al dan niet een DPIA moet worden uitgevoerd; welke methodologie moet worden uitgevoerd; of de DPIA intern kan worden uitgevoerd, of zou moeten worden uitbesteed; welke maatregelen moeten worden toegepast et cetera. In tegenstelling tot wat in de praktijk vaak wordt gedacht, is de FG in principe dus niet betrokken bij de uitvoering van een DPIA, zodat hij vrij is om te adviseren over de uitkomsten daarvan. Wel moet de FG toezien op de uitvoering van zijn advies.
De adviezen en aanwijzingen die de FG geeft zijn niet geheel vrijblijvend en ook niet altijd gewenst. Daarom is het belangrijk dat de FG een bepaalde mate van bescherming heeft. De FG heeft daarom ontslagbescherming en de dienstverleningsovereenkomst mag niet op oneigenlijke gronden worden beëindigd (bij een externe FG). De FG heeft echter geen veto recht. Het bestuur heeft zelf de verantwoordelijkheid om het FG-advies op te volgen of naast zich neer te leggen.
De Privacy Officer
De Privacy Officer (PO) is verantwoordelijk voor het actualiseren en bewaken van het privacybeleid binnen de gemeente en het ondersteunen van de uitvoering. Deze functie kan per gemeente verschillen. Zo is in sommige gevallen de functie vooral juridisch van aard (deze PO’s hebben ook vaak een juridische achtergrond) en in andere gevallen meer coördinerend. Sommige grote gemeenten hebben zelfs nog een Chief Privacy Officer (CPO) die sturing geeft aan het privacyteam (de PO’s). De PO werkt nauw samen met de FG en Chief Information Security Officer (CISO) en heeft o.a. de volgende kerntaken:
- Hij is het dagelijkse aanspreekpunt voor collega’s als het gaat om privacyvraagstukken en levert daarom een actieve bijdrage aan het bewustwordingsprogramma en/of voorlichtingsbijeenkomsten.
- Hij adviseert bij het opstellen van procedures en werkprocessen binnen afdelingen.
- Hij ondersteunt en adviseert bij het opstellen en bijhouden van verwerkersovereenkomsten met externe partijen.
- Hij adviseert over privacy compliance.
- Hij is verantwoordelijk voor het opstellen en bijhouden van het register van verwerkingen.
- Hij coördineert het proces rondom datalekken.
- Hij ondersteunt bij projecten waar privacyrisico’s in kaart moeten worden gebracht door middel van het uitvoeren van een DPIA.
De verschillen?
Het belangrijkste en grootste verschil is dat de PO niet beschikt over toezichthoudende bevoegdheden. Zoals je hierboven hebt kunnen lezen is ten opzichte van de FG de functie van de PO veel praktischer van aard. De PO heeft veel meer een operationeel/uitvoerende rol:
- Waar de FG in hoge mate onafhankelijk is en toeziet op de naleving van de AVG, staat voor de PO juist het bedrijfsbelang centraal. De PO is verantwoordelijk voor de eerstelijnsadvisering en adviseert de directie, het management en medewerkers over privacyvraagstukken.
- Naast deze taken is de PO ook sterk gericht op het mogelijke risico op reputatie- en/of imagoschade voor de organisatie en levert daarom een actieve bijdrage aan het verhogen van de bewustwording van collega’s. Je hebt namelijk alle collega’s nodig om een succes te maken van gegevensbescherming. Dat vraagt om een structurele en planmatige aanpak voor het creëren van bewustzijn binnen de gemeente.
- In de taakomschrijving van de FG staat dat hij vooral moet signaleren en rapporteren. De PO is vooral ook oplossingsgericht, adviseert over mogelijkheden en de aanpak en neemt zo nodig het voortouw als verbeteringen gerealiseerd moeten worden.
- Bij nieuwe ontwikkelingen is de PO betrokken en draagt hij actief oplossingen aan, bijvoorbeeld bij de uitvoering van een DPIA of bij het beperken van risico’s door bijvoorbeeld de toepassing van Privacy by Design.
Combineren of niet?
Beide functies zijn sterk met elkaar verbonden en er zit ook wat overlap in (met name adviseren). Waarom zou je deze functie(s) dan niet combineren is vaak de gedachte? Zeker kleinere gemeenten, waar deze rollen geen fulltime functie behelzen, zijn geneigd deze functie(s) te combineren. Toch is het niet wenselijk dit te doen, gezien de risico’s die hieraan kleven: de taken van de PO kunnen namelijk conflicteren met de toezichthoudende rol van de FG en daarvoor vereiste onafhankelijkheid. Indien nodig moet de FG kunnen optreden, bijvoorbeeld een zelfstandig onderzoek uitvoeren naar aanleiding van bijvoorbeeld een klacht. Hij is daarmee het verlengde van de Autoriteit Persoonsgegevens (AP). Dit wordt lastig op het moment dat je je ‘eigen vlees moet keuren’ en je kan daarmee de geloofwaardigheid en betrouwbaarheid van de FG schaden. Het is daarom belangrijk dat de onafhankelijke positionering van de FG gewaarborgd blijft. Tot slot, zien we in praktijk dat veel PO’s een hoge werkdruk hebben. Combineer je deze rol dan is het de vraag of je wel voldoende ruimte/tijd hebt om beide taken ook naar behoren uit te voeren. De kans is groot dat je als FG/PO met name bezig bent met het geven van voorlichting en het adviseren bij privacyvraagstukken, in plaats van het uitvoeren van objectieve controles. Wel is het belangrijk dat de FG en PO goed op elkaar zijn ingespeeld.
Kortom, als we naar beide rollen kijken kunnen we concluderen dat als het gaat om privacy de uitvoering, het advies en toezicht binnen de AVG gescheiden is. Wel kan, afhankelijk van de grote van de gemeente, de rol van FG in deeltijd uitgevoerd worden. Combineer deze functie dan niet met de PO-functie, maar onderzoek de mogelijkheid om met meerdere gemeenten, bijvoorbeeld in regionale opzet, één FG aan te stellen. Je kunt ook overwegen om een parttime PO of FG extern in te huren. In sommige gevallen is dat goedkoper dan zelf de benodigde kennis en competenties up-to-date te houden.
Meer informatie?
Heb je na het lezen van deze blog vragen ff wil je (tijdelijk) een FG of Privacy Officer inhuren? Laat ons dit dan weten en neem contact met ons op.
Overal waar in deze blog hij of zijn staat, kun je ook zij of haar lezen.
- Rapporteren zonder resultaat; de frustratie van elke FG en CISO - 7 oktober 2024
- Hoe voer je een Business Impact Analyse (BIA) uit? - 23 september 2024
- Waarom is het lastig om structureel DPIA’s uit te voeren? - 8 september 2024
Lees ons boek
Gemeenten. Bewustzijn. Privacy.
Training
Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders
Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!