FG kan niet altijd onafhankelijk taak uitvoeren

De positie van de functionaris gegevensbescherming (FG) binnen organisaties kan beter. Dat is de conclusie van een grootschalig onderzoek van de European Data Protection Board (EDPB) dat werd gepubliceerd in aanloop naar de Dag van de Privacy, die zondag plaatsvindt. Aan het onderzoek deden 17.000 respondenten mee.

12.000 Nederlandse FG's

Een FG houdt onafhankelijk toezicht op de toepassing en naleving van de privacywetgeving binnen overheidsorganisaties en bedrijven. Een deel van de organisaties is verplicht om een FG aan te stellen, waaronder gemeenten. In Nederland zijn er nu ongeveer 12.000 organisaties met een FG, meldt de Autoriteit Persoonsgegevens.

Voor het onderzoek riep de EDPB de hulp in van 25 Europese privacytoezichthouders, waaronder de Autoriteit Persoonsgegevens, die de vragenlijsten voorlegden aan organisaties binnen hun eigen land. De meerderheid van de respondenten zegt de vaardigheden en kennis te hebben die nodig zijn om hun taak te vervullen. Hun taken zijn duidelijk omschreven en bekend binnen de organisatie. Ze geven bovendien aan dat ze meestal voldoende informatie en budget krijgen om hun taken te kunnen uitvoeren. Ook worden hun adviezen redelijk goed gevolgd, en anders wordt uitgelegd waarom niet.

Aanvullende taken

Het rapport signaleert echter ook dat veel FG's allerlei aanvullende taken krijgen toebedeeld, die niet altijd te maken hebben met hun rol als FG. Ongeveer een derde van de FG’s wordt gedeeld door meerdere organisaties. Op basis van de onderzoeksresultaten zien veel Europese toezichthouders situaties die potentieel kunnen leiden tot belangenverstrengeling. In Nederland leek dit bijvoorbeeld aan de orde bij gemeenten die een FG ook de rol van privacy officer gaven, al bleek dat in het geval van Almere uiteindelijk geen probleem.

Instructies en budgetbeheer

Er zijn meer redenen waardoor FG’s niet onafhankelijk hun werk kunnen uitvoeren. Zo geven sommige organisaties aan dat hun FG’s instructies krijgen hoe ze hun taken moeten uitvoeren (gek voor een onafhankelijke rol) en beheert slechts 47 procent van de FG’s het toegewezen budget zelfstandig.

De EDPB geeft een aantal aanbevelingen om de situatie te verbeteren. Organisaties kunnen zorgen dat hun FG’s over voldoende actuele kansen, tijd en middelen beschikken om hun kennis actueel te houden. De toezichthouders moeten voor elkaar krijgen dat organisaties goed weten wat de rol en de taken van de FG inhouden. En bij overtredingen is het essentieel dat er ook echt wordt opgetreden.