Check-Privacy voor ondersteuning bij uw implementatie van: | AVG | Verwerkersovereenkomsten | Registers | Privacy-Statements | ISO 27001 | NEN 7510 | ISO 9001 | Pentesten | 

Mag de FG andere taken en plichten vervullen?

“…… andere taken en plichten vervullen…..”


De primaire taken van de FG worden nu langzamerhand wel steeds meer bekend binnen organisaties: het toezien op het voldoen aan de AVG en het adviseren van de organisatie, met name van de Verantwoordelijke.

Om niet als een politieagent te gaan worden beschouwd is het handig dat de FG niet alleen maar commentaar levert, maar ook de gegevensbescherming in een organisatie  bevordert door daar aan bij te dragen. De AVG geeft daar via artikel 39 lid 6 gelegenheid toe:

De functionaris voor gegevensbescherming kan andere taken en plichten vervullen. De verwerkingsverantwoordelijke of de verwerker zorgt ervoor dat deze taken of plichten niet tot een belangenconflict leiden.”

De intentie van de wetgever is mooi: efficiënt, betrokken en als “partner in crime” zal de FG gegevensbescherming veel beter door de organisatie geaccepteerd krijgen, dan wanneer hij politieagent speelt.

De oplettende lezer zal echter direct opvallen dat er een spanningsveld ontstaat: een normbewaker die meedoet aan het opzetten of onderhouden van die norm! De Verantwoordelijke (of de Verwerker) zorgt er echter voor dat het potentiële gevaar niet wordt gerealiseerd! Daarmee is het gevaar dus geweken? Ik denk van niet..!

Allereerst is de term “belangenconflict” niet eenduidig. Wiens belang? En wanneer is het een conflict?

Daarnaast kan een Verantwoordelijke, hoe goed hij het ook allemaal bedoelt, een eigen belang hebben om de FG “deel van het probleem te maken”. Niet alleen neemt die een (werk-)last weg, ook kan de FG later niet meer onafhankelijk naar dat werk kijken, indien dat nodig mocht zijn.

Ook kan de FG zelf taken op zich nemen die een belangenconflict veroorzaken, al was het alleen al maar omdat hij wellicht te weinig tijd als FG kan optreden.

Kortom: een scheiding der geesten is noodzakelijk. Wat kan en mag de FG aan “andere taken en plichten”  doen?

Formele AVG-instrumenten...

De AVG geeft zelf al een aantal instrumenten:

=> de FG bepaalt zijn “eigen” taken

Althans: ontvangt daarin geen instructies van de Verantwoordelijke. art 38 lid 3 AVG.

Natuurlijk bepaalt hij de inhoud van de FG-taken wel op grond van de vereisten van AVG en vanuit de vereiste deskundigheid om gegevensbescherming intern een “way of life” te maken. Dus een geheel vrije keus is er voor hem niet. Beter zou nog zijn indien hij een normenkader daarvoor zou kunnen volgen. Dan kan niemand meer commentaar op zijn doen en laten hebben. Staat de manier van invullen van het FG-schap nog open, in ieder geval kan de Verantwoordelijke hem daarin geen taken opdragen.

=> de FG wordt “overal” bij betrokken

De FG wordt bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens, art. 38 lid 1 AVG. Dat betekent dat niemand een keus voor hem kan maken wat wel en wat niet als taak op te nemen. Natuurlijk zijn er taken mogelijk buiten het AVG-domein. De FG heeft door het betreffende lid evenwel een mooie reden om die te minimaliseren.

 => De FG rapporteert direct aan de hoogste leidinggevende

De functionaris voor gegevensbescherming brengt rechtstreeks verslag uit aan de hoogste leidinggevende van de Verwerkingsverantwoordelijke of de Verwerker, art. 38 lid 3 AVG. Daarmee kan hij bewaken dat zijn onafhankelijkheid wordt aangetast. Lukt het hem niet zijn positie dan te handhaven, dan moet hij zich maar eens achter zijn oren krabben.

=> De Verantwoordelijke zorgt ervoor dat de taken niet tot een belangenconflict leiden.

Een foute taakopvatting van de Verantwoordelijke kan een bron van gevaar zijn, maar ook de FG kan natuurlijk dwalen. Dat kan bijvoorbeeld doordat hij door teveel aandacht voor andere taken te weinig tijd aan het toezien op en adviseren over de AVG schenkt. Het is dan de Verantwoordelijke die ervoor moet zorgen dat dit knelpunt wordt weggenomen. Op grond van het (eigen-)belang van de gegevensbescherming zal de Verantwoordelijke kunnen en zelfs moeten ingrijpen.

Zijn er nu voldoende waarborgen?

Het is nu de vraag of de voorgaande formele waarborgen voldoende zijn om belangenconflicten bij het opnemen van andere taken.  Ik denk van niet.

Het begrip “belang” is nu wel afgedekt. Het grootste gevaar voor de FG is de dreiging van een conflict, namelijk door dat hij “deel van het probleem” wordt door, (gedeeltelijk), verantwoordelijk te zijn voor resultaten of beslissingen die zijn onafhankelijke blik vertroebelen of waarvoor hij nadien aansprakelijk kan worden gesteld. Het keuren van eigen vlees is juist in gegevensbescherming een doodzonde.

Het is aan de FG zelf...

Het grootste filter voor het afwenden van gevaar bij het opnemen van andere taken is dan ook de FG zelf. Door zich te beperken tot het “wat” en afstand te nemen van het “hoe” en de uitvoering, is het grootste gevaar weggenomen. Natuurlijk mag de FG meedenken en zelfs bijdragen, bijvoorbeeld door mee te brainstormen of te reviewen. De betrokkenheid bedoeld in art. 38 lid 1 verplicht hem m.i. dat zelfs.

De uiteindelijke beslissing op kwesties en de uitvoering daarvan ligt bij de Verantwoordelijke; de FG kan alleen op grond van de eisen van de AVG- “go/no-go” daarin geven.

Afdrukken