Skip to main content

Functionaris Gegevensbescherming versus Privacy Officer – wie doet wat?

| Erna Havinga | ,

Als gemeente heb je een grote verantwoordelijkheid als het gaat om het veilig omgaan met (persoons)gegevens. Activiteiten op privacyvlak moeten dan ook goed worden gecoördineerd én belegd. Als het gaat om privacy zijn diverse functies te onderscheiden. Zo spreken we over de ‘Functionaris Gegevensbescherming (FG)’ en de ‘Privacy Officer (PO)’. Maar wie is waarvoor verantwoordelijk? Hoe verhouden deze functies zich tot elkaar? En wat zijn de verschillen?

De Functionaris Gegevensbescherming

De Algemene Verordening Gegevensbescherming (AVG) verplicht gemeenten om een Functionaris Gegevensbescherming (FG) aan te stellen als zij verwerker of verwerkingsverantwoordelijke zijn. De FG is de interne toezichthouder en heeft o.a. de volgende kerntaken:

  • Hij is verantwoordelijk voor het toezicht houden op de naleving van de privacywet en -regelgeving én heeft de taak om de gemeente hierop te controleren.
  • Hij is verantwoordelijk voor het toezicht houden op de gegevensverwerkingen binnen de organisatie, is er bijvoorbeeld een verwerkingsregister?
  • Hij is contactpunt voor betrokken, bijvoorbeeld bij het afhandelen van vragen en klachten van mensen binnen én buiten de organisatie.
  • Hij geeft (gevraagd en ongevraagd) advies aan de organisatie. Bijvoorbeeld voorafgaand aan een DPIA*, bij technische beveiligingsmaatregelen omtrent gegevensverwerkingen, naar aanleiding van audits en bij het al dan niet melden van (voorlopige) meldingen van datalekken bij de Autoriteit Persoonsgegevens (AP).
  • Hij is eerste aanspreekpunt voor de AP. Daarom is het van belang dat de AP beschikt over de contactgegevens van de FG. Dit is ook een verplichting vanuit de AVG. Ook omdat de AP dan contact kan opnemen met de FG naar aanleiding van klachten.
  • De FG adviseert en rapporteert over zijn werkzaamheden aan het college van Burgemeester en Wethouders (B&W) en de gemeentesecretaris.

*Data protection impact assessment (DPIA)

Een DPIA is verplicht voor verwerkingen met een verhoogd privacyrisico. De verwerkingsverantwoordelijke moet bij de uitvoering van een DPIA advies vragen van de FG. Bij deze advisering kan het gaan om: of er al dan niet een DPIA moet worden uitgevoerd; welke methodologie moet worden uitgevoerd; of de DPIA intern kan worden uitgevoerd, of zou moeten worden uitbesteed; welke maatregelen moeten worden toegepast et cetera. In tegenstelling tot wat in de praktijk vaak wordt gedacht, is de FG in principe dus niet betrokken bij de uitvoering van een DPIA, zodat hij vrij is om te adviseren over de uitkomsten daarvan. Wel moet de FG toezien op de uitvoering van zijn advies.

De adviezen en aanwijzingen die de FG geeft zijn niet geheel vrijblijvend en ook niet altijd gewenst. Daarom is het belangrijk dat de FG een bepaalde mate van bescherming heeft. De FG heeft daarom ontslagbescherming en de dienstverleningsovereenkomst mag niet op oneigenlijke gronden worden beëindigd (bij een externe FG). De FG heeft echter geen veto recht. Het bestuur heeft zelf de verantwoordelijkheid om het FG-advies op te volgen of naast zich neer te leggen.

De Privacy Officer
De Privacy Officer (PO) is verantwoordelijk voor het actualiseren en bewaken van het privacybeleid binnen de gemeente en het ondersteunen van de uitvoering. Deze functie kan per gemeente verschillen. Zo is in sommige gevallen de functie vooral juridisch van aard (deze PO’s hebben ook vaak een juridische achtergrond) en in andere gevallen meer coördinerend. Sommige grote gemeenten hebben zelfs nog een Chief Privacy Officer (CPO) die sturing geeft aan het privacyteam (de PO’s). De PO werkt nauw samen met de FG en Chief Information Security Officer (CISO) en heeft o.a. de volgende kerntaken:

  • Hij is het dagelijkse aanspreekpunt voor collega’s als het gaat om privacyvraagstukken en levert daarom een actieve bijdrage aan het bewustwordingsprogramma en/of voorlichtingsbijeenkomsten.
  • Hij adviseert bij het opstellen van procedures en werkprocessen binnen afdelingen.
  • Hij ondersteunt en adviseert bij het opstellen en bijhouden van verwerkersovereenkomsten met externe partijen.
  • Hij adviseert over privacy compliance.
  • Hij is verantwoordelijk voor het opstellen en bijhouden van het register van verwerkingen.
  • Hij coördineert het proces rondom datalekken.
  • Hij ondersteunt bij projecten waar privacyrisico’s in kaart moeten worden gebracht door middel van het uitvoeren van een DPIA.

De verschillen?

Het belangrijkste en grootste verschil is dat de PO niet beschikt over toezichthoudende bevoegdheden. Zoals je hierboven hebt kunnen lezen is ten opzichte van de FG de functie van de PO veel praktischer van aard. De PO heeft veel meer een operationeel/uitvoerende rol:

  • Waar de FG in hoge mate onafhankelijk is en toeziet op de naleving van de AVG, staat voor de PO juist het bedrijfsbelang centraal. De PO is verantwoordelijk voor de eerstelijnsadvisering en adviseert de directie, het management en medewerkers over privacyvraagstukken.   
  • Naast deze taken is de PO ook sterk gericht op het mogelijke risico op reputatie- en/of imagoschade voor de organisatie en levert daarom een actieve bijdrage aan het verhogen van de bewustwording van collega’s. Je hebt namelijk alle collega’s nodig om een succes te maken van gegevensbescherming. Dat vraagt om een structurele en planmatige aanpak voor het creëren van bewustzijn binnen de gemeente.
  • In de taakomschrijving van de FG staat dat hij vooral moet signaleren en rapporteren. De PO is vooral ook oplossingsgericht, adviseert over mogelijkheden en de aanpak en neemt zo nodig het voortouw als verbeteringen gerealiseerd moeten worden.
  • Bij nieuwe ontwikkelingen is de PO betrokken en draagt hij actief oplossingen aan, bijvoorbeeld bij de uitvoering van een DPIA of bij het beperken van risico’s door bijvoorbeeld de toepassing van Privacy by Design.

Combineren of niet?

Beide functies zijn sterk met elkaar verbonden en er zit ook wat overlap in (met name adviseren). Waarom zou je deze functie(s) dan niet combineren is vaak de gedachte? Zeker kleinere gemeenten, waar deze rollen geen fulltime functie behelzen, zijn geneigd deze functie(s) te combineren. Toch is het niet wenselijk dit te doen, gezien de risico’s die hieraan kleven: de taken van de PO kunnen namelijk conflicteren met de toezichthoudende rol van de FG en daarvoor vereiste onafhankelijkheid. Indien nodig moet de FG kunnen optreden, bijvoorbeeld een zelfstandig onderzoek uitvoeren naar aanleiding van bijvoorbeeld een klacht. Hij is daarmee het verlengde van de Autoriteit Persoonsgegevens (AP). Dit wordt lastig op het moment dat je je ‘eigen vlees moet keuren’ en je kan daarmee de geloofwaardigheid en betrouwbaarheid van de FG schaden. Het is daarom belangrijk dat de onafhankelijke positionering van de FG gewaarborgd blijft. Tot slot, zien we in praktijk dat veel PO’s een hoge werkdruk hebben. Combineer je deze rol dan is het de vraag of je wel voldoende ruimte/tijd hebt om beide taken ook naar behoren uit te voeren. De kans is groot dat je als FG/PO met name bezig bent met het geven van voorlichting en het adviseren bij privacyvraagstukken, in plaats van het uitvoeren van objectieve controles. Wel is het belangrijk dat de FG en PO goed op elkaar zijn ingespeeld.

Kortom, als we naar beide rollen kijken kunnen we concluderen dat als het gaat om privacy de uitvoering, het advies en toezicht binnen de AVG gescheiden is. Wel kan, afhankelijk van de grote van de gemeente, de rol van FG in deeltijd uitgevoerd worden. Combineer deze functie dan niet met de PO-functie, maar onderzoek de mogelijkheid om met meerdere gemeenten, bijvoorbeeld in regionale opzet, één FG aan te stellen. Je kunt ook overwegen om een parttime PO of FG extern in te huren. In sommige gevallen is dat goedkoper dan zelf de benodigde kennis en competenties up-to-date te houden.

Meer informatie?

Heb je na het lezen van deze blog vragen ff wil je (tijdelijk) een FG of Privacy Officer inhuren? Laat ons dit dan weten en neem contact met ons op.  

Overal waar in deze blog hij of zijn staat, kun je ook zij of haar lezen.

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Hoe kun je contractmanagement implementeren?

: Contractmanagement zorgt ervoor dat alle afspraken en verplichtingen in een zakelijk contract goed worden nageleefd en beheerd, vanaf het moment dat het contract wordt ondertekend tot het einde ervan. Maar wat houdt contractmanagement eigenlijk …

De rol van de lijnmanager op het gebied van privacy

In onze wereld, met alle informatietechnologie, is privacy belangrijker dan ooit. Als lijnmanager heb je een belangrijke rol om ervoor te zorgen dat iedereen zich aan de regels van de van de organisatie houdt. Maar wat houdt deze rol precies in en…

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …

Een verwerkersovereenkomst afgesloten, en dan?

Een van de belangrijkste eisen uit de AVG is dat je een verwerkersovereenkomst moet opstellen wanneer je persoonsgegevens laat verwerken door anderen. In deze blog lees je meer over wat er moet gebeuren nadat je een verwerkersovereenkomst hebt afg…

Hoe kan het 9-vlaksmodel helpen bij de implementatie van BIO-maatregelen?

Het 9-vlaksmodel van Rik Maes is een handig hulpmiddel voor informatiemanagement. Het helpt organisaties bij het begrijpen en beheren van hun informatiesystemen en -processen. Ontdek in deze blog hoe dit model ook kan helpen bij de implementatie v…

Samenhang Europese digitale wetgeving: voorbereiding voor gemeenten

Tussen nu en 2026 krijg je als gemeente te maken met maar liefst 13 nieuwe wetten die de digitale toekomst van Europa vormgeven. Deze nieuwe digitale wetten hebben veel invloed op wat gemeenten doen. Om deze gevolgen beter te begrijpen, heeft de V…