Iedereen verwacht iets anders van het jaarverslag van de functionaris gegevensbescherming.

Ik neem zomaar aan dat u als bestuurder in het openbaar bestuur veel inhoudelijk leeswerk hebt. Eén van de terugkerende rapporten is het jaarverslag. Steeds vaker levert ook uw Functionaris Gegevensbescherming (FG), de intern toezichthouder op de naleving van de AVG (en soms de Wpg) een jaarverslag op.

Hoewel ik in algemene zin zowel ‘transparantie’ als ‘verantwoording afleggen’ toejuich, heb ik m’n bedenkingen bij stukken waarvan op voorhand niet duidelijk is wat de lezer kan verwachten. Wie legt aan wie verantwoording af en waarover?

Het jaarverslag van een FG is daarmee een soort inktvlekken-test geworden. Je kunt er van alles in zien en daar betekenis aan hechten, maar dit wijzigt de vlek zelf niet.

In sommige FG-jaarverslagen is te lezen hoe de organisatie ervoor staat qua naleving van de AVG. Qua transparantie best gaaf om te lezen, maar eigenlijk is (een paragraaf in) het reguliere jaarverslag logischer. Het is immers de organisatie en niet de FG die verantwoordelijk is voor de naleving van de AVG.

In andere FG-jaarverslagen zie ik een waslijst aan AVG-misstanden opgesomd, kennelijk omdat de FG niet eerder zijn zegje heeft kunnen doen bij de bestuurder.

Om uit te vinden wie gelijk heeft en wat de vlek -het FG jaarverslag- nu eigenlijk moet voorstellen is het handig de theorie en geschiedenis van jaarverslagen erbij te betrekken. In dit geval is het zinvol om drie verschillende soorten jaarverslagen te onderscheiden:

(1) het algemene jaarverslag,

(2) het jaarverslag van een extern toezichthouder,

(3) het jaarverslag van een intern toezichthouder

Eerst maar eens het ‘gewone’ jaarverslag: Dit wordt in algemene zin gebruik om de input en output van een organisatie(onderdeel) te verantwoorden. Het gaat om het afleggen van verantwoording aan aandeelhouders, investeerders, maar ook aan maatschappelijke organisaties en andere geïnteresseerden.

Bij de meeste publieke organisaties kijkt men niet alleen naar ‘input’ en ‘output’, maar ook naar de ‘outcome’. Er staat dan niet alleen met hoeveel fte en middelen (input) hoeveel producten (output) er zijn opgeleverd, maar ook wat deze producten of diensten hebben opgebracht (outcome). Anders gezegd: je geeft niet alleen weer wat je hebt gedaan met je middelen, maar ook wat je ermee hebt bereikt. Dat wat je wil bereiken is vaak lastiger te onderbouwen of in cijfers uit te drukken. Denk aan ‘goed onderwijs’, ‘mensgerichte zorg’ of ‘veilig vervoer’. Vandaar dat steeds vaker bepaalde (publieke) waarden worden nagestreefd, waardoor in het jaarverslag verantwoord kan worden in hoeverre de inzet heeft bijgedragen aan het bereiken van deze waarden. Vanaf de jaren ’90 is bovendien gemeengoed geworden een paragraaf aan het jaarverslag toe te voegen over de wijze waarop deze doelen bereikt werden. Dit kreeg een plek onder de noemer ‘maatschappelijk verantwoord ondernemen’, ‘duurzaamheid’, en bijvoorbeeld ook ‘diversiteit’.

Jaarverslagen van extern toezichthouders: Waar toezichthouders fundamenteel verschillen van andere organisaties is dat zij veel minder rechtstreeks verantwoordelijk kunnen zijn voor de outcome dan andere organisaties. Daarom staan in jaarverslagen van toezichthouders historisch meer cijfers over output dan outcome genoemd. Er wordt dan verantwoording afgelegd door een overzicht te geven van: ‘het aantal klachten dat is behandeld’, ‘het aantal onderzoeken dat is gestart en afgrond’, en bijvoorbeeld ‘het aantal waarschuwingen of boetes dat is opgelegd’. Dit past bij het klassieke beeld van de toezichthouder als handhaver van de (wettelijke) norm.

Deze versturen we 3-4x per jaar.