De rol van een functionaris gegevensbescherming (FG) is essentieel voor de bescherming van persoonsgegevens. Om zijn of haar rol beter uit de verf te laten komen, publiceerde de Autoriteit Persoonsgegevens (AP) uitgangspunten voor de positionering van de FG.
De AP ontving regelmatig signalen dat FG’s niet of te laat betrokken worden bij plannen waarbij gegevens worden verwerkt, niet de juiste stukken ontvangen of onvoldoende tijd krijgen om te kunnen doen wat er van een FG wordt verwacht. De invulling van het interne toezicht is lang niet overal goed genoeg geregeld. Hierdoor lopen burgers, patiënten en klanten het risico dat gegevens niet goed beschermd worden. Reden voor de toezichthouder om helderheid te verschaffen.
Gemeenten
Op grond van de AVG (Algemene verordening gegevensbescherming) zijn gemeenten verplicht een FG aan te stellen als interne privacytoezichthouder. De Informatiebeveiligingsdienst (IBD) van de VNG adviseert de directie en het college van B en W van gemeenten om de rollen, taken en verantwoordelijkheden van de eigen FG te toetsen aan de uitgangspunten van de AP.
Uitgangspunten
De AP beschrijft de 8 uitgangspunten voor een juiste positionering van de FG ten opzichte van de verantwoordelijke (directie en/of bestuur):
- De FG is adviseur en ziet toe op de naleving van het privacybeleid van de organisatie. De FG is in geen geval verantwoordelijk voor de uitvoering van de adviezen.
- De FG is toezichthouder en controleert of de organisatie de AVG juist toepast.
- De verantwoordelijke waarborgt de onafhankelijke positie van de FG, de juiste hoeveelheid middelen en toegang tot het bestuur.
- De FG wordt tijdig en naar behoren betrokken bij alle zaken die gaan over de bescherming van persoonsgegevens.
- De FG is het eerste aanspreekpunt voor klachten over de bescherming van persoonsgegevens van inwoners, klanten of medewerkers.
- De FG heeft geen inhoudelijke rol in formele onderzoeken van de AP.
- Adviezen of rapporten van de FG kunnen wel worden betrokken bij formele onderzoeken.
- De FG spreekt niet namens de organisatie en het is uitgesloten dat de FG (in een andere functie) verantwoordelijkheid draagt voor gegevensverwerkingen.