'Gegevensbeschermer moet eigen vlees niet keuren'
Gemeenten zijn verplicht om een Functionaris Gegevensbescherming (FG) aan te stellen. KING heeft dinsdag een handreiking gepubliceerd voor de rol en de taken van zo'n functionaris. In de handreiking staan antwoorden op diverse vragen van gemeenten over dit onderwerp. Er zijn risico's verbonden aan het combineren van diverse rollen, zo waarschuwt KING.
Gemeenten zijn verplicht om een Functionaris Gegevensbescherming (FG) aan te stellen. KING heeft dinsdag een handreiking gepubliceerd voor de rol en de taken van zo'n functionaris. In de handreiking staan antwoorden op diverse vragen van gemeenten over dit onderwerp. Er zijn risico's verbonden aan het combineren van diverse rollen, zo waarschuwt KING.
Spagaat tussen controle en uitvoeren
In de handreiking wordt ingegaan op de positionering van een FG. De onafhankelijkheid van de FG moet gewaarborgd zijn, zo schrijft KING. Een FG krijgt daarom geen instructies van de gemeente en verwerkers, wel moet er worden gerapporteerd aan het college van B&W over de werkzaamheden. Overleg met de Autoriteit Persoonsgegeen is ook een optie, maar een meldingsplicht bij onregelmatigheden is er niet. KING waarschuwt voor een 'spagaat' tussen veel uitvoerende taken voor een FG en het controleren van werkzaamheden binnen de gemeente. Het kan betekenten dat de FG min of meer zijn eigen werkzaamheden moet controleren. 'Een dergelijke spagaat zou de geloofwaardigheid en betrouwbaarheid van de functie niet ten goede komen.'
Verschillende rollen combineren soms lastig
KING waarschuwt ook voor voldoende scheiding tussen de functies die in samenhang zijn, zoals de Chief Information Securty Officer (CISO) en de Privacy Officer (PO). Het kan namelijk zo zijn dat de FG een rol is van een functionaris die ook andere werkzaamheden verricht binnen een gemeente. Volgens KING kan het bijvoorbeeld lastig zijn voor een gecombineerde FG/CISO functie om intern toezicht uit te kunnen oefenen op toepassingen die door de CISCO zijn uitgewerkt. Ook een gedeelde functie van PO en FG kent risico's: het resultaat is dat een functionaris die beide rollen vervuld vaak niet genoeg tijd heeft om de beoogde wettelijke rol van toezichthouders op te pakken en controles uit te voeren, zoals een PO vaak functioneert. Door de dagelijkse werkdruk zou een FG/PO dan bijna volledig bezig zijn met het geven van voorlichting en het adviseren bij privacyvraagstukken op casusniveau.
@BB: regelmatig zie ik spel- en grammaticafouten zoals nu 'CISCO' en 'vervuld'. Daar zijn oplossingen voor.