De positionering van de FG: figurant of fenomeen

De positionering van de FG: figurant of fenomeen
Jeroen Tegelaar

Niet veel mensen hebben door wat de Functionaris Gegevensbescherming (FG), doet binnen een organisatie. Vele kennen hem wel, maar weten niet exact wat hij voor werkzaamheden heeft. Vanuit onze ervaring zien we de FG op veel verschillende plekken in de organisatie. Daarnaast zien we ook dat de FG niet altijd het mandaat heeft die hij nodig heeft om zijn functie goed uit te voeren. De functie wordt snel onder Legal/Compliance geschaard, maar ook HR/Salarisadministratie is een mogelijkheid. Grotere bedrijven en multinationals hebben vaak een apart privacy team met privacy juristen en een FG.

Of de FG nou een heel privacy team tot zijn beschikking heeft of er in zijn eentje voor staat, is afhankelijk per organisatie. Zolang de organisatie maar een FG neer zet die beschikt over de juiste competenties. Daarnaast is het ook belangrijk om te kijken naar hoe de FG binnen de organisatie in staat wordt gesteld zijn werk te doen, en wat zijn positie is binnen de organisatie.

De FG tussen mythe en werkelijkheid
Een groot misverstand is dat de FG het allemaal wel regelt en doet. De FG schrijft de procedures en beleidsstukken én zorgt er in z’n eentje ook nog voor dat de organisatie AVG-compliant is. Hoewel we dit soms wel tegen komen in de praktijk, werkt dit natuurlijk niet zo. De FG heeft door zijn wettelijke taken namelijk een bijzondere positie. Zijn hoofdtaak is het toezicht houden op de naleving van de Algemene verordening gegevensbescherming (AVG). De FG dient de organisatie dus te  adviseren over gegevensbescherming en toe te zien op het werk dat wordt geleverd door de organisatie. Het is zeker niet de bedoeling dat de FG het werk alleen doet, want op ie manier beoordeelt hij zijn eigen werk.

Waar de FG te plaatsen?
Het is dus belangrijk dat de FG op de juiste plek in de organisatie staat, zodat iedereen begrijpt wat zijn functie is en zijn taken zijn. Deze positie kunnen we het beste uit leggen aan de hand van het “Three Lines of Defence” model.

Binnen organisaties wordt bewust of onbewust gebruik gemaakt van dit model. De 1e, 2e en 3e lijn hebben binnen de organisatie andere taken en verantwoordelijkheden.
De 1e lijn is verantwoordelijk voor de interne bedrijfsvoering. Denk hierbij aan marketing, klantenservice, IT en productie. De 2e lijn ondersteunt het management met het identificeren en bewaken van risico’s en ontwikkelt methodes voor procesbeheersing, monitoring en rapportage. Afdelingen zoals Risk, Compliance, kwaliteitsmanagement en ook de FG houden toezicht op de processen binnen de organisatie.
De 3de lijn is verantwoordelijk voor de interne audit. Dit kan echter ook de inbreng zijn van externe auditors en/ of regelgevers en toezichthouders.  Voor kleinere bedrijven die geen interne audit hebben, kan dit ook de externe auditor zijn of zelfs een toezichthoudende autoriteit zoals de Autoriteit Persoonsgegevens.

Uit het “Three Lines of Defence” model blijkt heel duidelijk dat de FG een toezichthoudende en adviserende functie heeft. Om dit uit te kunnen uitoefenen is het echter een vereiste om als FG midden in de 1e lijn te staan. De FG dient kennis te hebben van de operatie en toegankelijk te zijn voor iedere medewerker. FG’ers hebben vaak het probleem dat ze te laat worden geïnformeerd. Dan is er al iets nieuws ontwikkeld waar persoonsgegevens voor worden verwerkt. Dus hoe lost u dit als organisatie op?

Afhankelijk van de behoefte van de rol van de FG door de organisatie én de volwassenheid van de organisatie, is een FG proactief of juist kaderstellend. De FG zal de regie moeten nemen om privacy in de organisatie te kaderen en toegankelijk te zijn voor alle afdelingen.