Organisaties moeten volgens de Algemene verordening gegevensbescherming (hierna: AVG) een Functionaris Gegevensbescherming (hierna: FG) aanstellen in drie situaties (art. 37 AVG):
- Overheden of publieke organisatie;
- Organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen; en
- Organisaties die op grote schaal bijzondere persoonsgegevens verwerkt.
Kleine organisaties stellen vaak een aanspreekpunt voor privacy aan, zoals een privacy officer. Voor de meeste grote organisaties is het niet eens een vraag, maar een eis dat ze een FG hebben. Voor de middelgrote organisaties is het probleem complexer: net te groot om de privacyproblematiek niet structureel aan te pakken, maar te klein om daar een hele functie voor in te richten.
Wil de functionaris effectief kunnen functioneren, dan moet hij ook op de juiste positie in de organisatiestructuur worden geplaatst. Door de onafhankelijke positie van de FG is de positionering van deze rol binnen de organisatie niet altijd een makkelijke klus.
Immers niet iedereen kan de functie vervullen. De AVG stelt namelijk, los van de noodzakelijke competenties, dat een medewerker geen andere taken mag vervullen als deze leiden tot een belangenconflict. Iemand met de functie IT-manager, bestuurder, HR-manager of hoofd Legal kan dus geen FG zijn om de reden dat de FG dan zijn eigen werk moet beoordelen. Omwille van de moeilijke positionering en de mogelijke belangenverstrengeling, is een externe FG dus een goede oplossing. Echter wordt een externe FG vaak gezien als een grote investering, maar daarbij wordt vaak vergeten dat de FG ook een grote waarde oplevert.
Die waarde is als volgt te kwantificeren:
- De FG is onafhankelijk
Een externe FG is, zoals het woord zelf zegt, van een externe partij. Zij hebben hierdoor geen vooroordelen of inside-informatie over de organisatie. Ze zijn neutraal en objectief, doordat ze geen andere belangen, die voortvloeien uit hun andere functie, kunnen meenemen. De externe FG rapporteert rechtstreeks aan het hogere management en is niet bang om de waarheid te vertellen. Interne medewerkers zouden meer aarzelen om zich openlijk uit te spreken tegen hun leidinggevenden.
- De FG heeft kennis van zaken en een relevant netwerk
De externe FG heeft een schat aan ervaring opgedaan buiten uw eigen organisatie, in soortgelijke sectoren of elders. Deze interdisciplinaire en sectoroverschrijdende expertise is een toegevoegde waarde voor het beheer van uw interne privacykwesties. Daarnaast heeft de externe FG een netwerk van andere FG’ers waardoor hij een enorme achterban heeft met kennis.
- De FG is op de hoogte van de nieuwste ontwikkelingen
Veel organisaties denken soms dat de externe FG zich enkel bezig hoeft te houden met de AVG. Echter zijn er de afgelopen 2 jaar al veel ontwikkelingen die de FG’er moet opvolgen, zoals de gevolgen van de Schrems II-zaak, de Brexit en de nieuw komende ePrivacy verordening.
- De FG is altijd beschikbaar
Wanneer uw organisatie een datalek heeft of iets nieuws ontwikkelt waarbij u meer persoonsgegevens verwerkt, moet u uw FG’er inschakelen. Een externe FG heeft geen andere taken binnen uw organisatie en is daarom altijd beschikbaar en flexibel om uw organisatie te ondersteunen.
- De FG is een concrete investering met een concreet resultaat
Hoewel het in eerste instantie lijkt dat de externe FG’er meer kost dan een interne oplossing, moet een FG’er om volledig operationeel te worden, de nodige opleiding en praktijktraining volgen, wat natuurlijk geld kost. Een externe FG heeft al een uitgebreide training achter de rug, heeft voldoende praktijkervaring, en blijft zich doorlopend ontwikkelen in de toekomst.
De aard en omvang van de organisatie en de persoonsgegevens die deze organisatie verwerkt, blijft bepalend voor uw keuze voor een interne oplossing of toch de externe FG. CRANIUM adviseert u graag over de (wel of niet verplichte) FG of we vervullen de rol van externe FG. Ook ondersteunen we uw eigen FG, wanneer dat nodig is!
Over Marloes
Marloes de Bruin is adviseur privacy, security & datamanagement bij CRANIUM Nederland. Ze is voor diverse organisaties het aanspreekpunt voor privacy vraagstukken. Ze organiseert bewustwordingscampagnes voor privacy en security voor scholen en bedrijven en doet onderzoek naar smart cities en het gebruik van artificial intelligence in de publieke ruimte.