De uitdagingen en succesfactoren voor de FG van nu en straks

Het aantal functionarissen voor de gegevensbescherming (FG’s) in Nederland groeit door, en de functie vervult een steeds meer substantiële rol op het gebied van privacy- en gegevensbescherming. Bram Hoovers van Considerati vertelt over de actuele opgaven en must-do’s voor FG’s die het verschil willen maken in de wereld van vandaag en morgen. 

De Autoriteit Persoonsgegevens (AP) signaleerde recent een forse toename van het aantal FG’s. Het aantal aangemelde FG’s groeide in 2021 tot zo’n 12.000. De AP merkt daarbij op dat “FG’s een steeds stevigere positie krijgen in het interne toezicht binnen een organisatie.” Tegelijkertijd is de positionering van de FG een aandachtspunt. De AP ontvangt naar eigen zeggen “regelmatig signalen dat FG’s niet of te laat betrokken worden bij plannen waarbij gegevens worden verwerkt, niet de juiste stukken ontvangen of onvoldoende tijd krijgen om te kunnen doen wat er van een FG wordt verwacht.” De toezichthouder publiceerde daarom een overzicht van de uitgangspunten voor de interne positionering van de FG.  

Balans tussen advies en toezicht 

“Een organisatie is volgens de Algemene Verordening Gegevensbescherming (AVG) verplicht om de onafhankelijke positie van de FG te waarborgen. Maar veel FG’s worstelen met de onafhankelijke uitvoering van de rollen van adviseur en toezichthouder”, ziet Bram Hoovers, Principal Legal Consultant bij Considerati en een van de sprekers tijdens het Dataprotectie & Privacy Congres van Outvie. Hoovers werkte als legal council voor verschillende organisaties en als privacy officer bij het global privacyteam van Philips. Sinds 2020 vervult hij vanuit adviesbureau Considerati voor verschillende organisaties de FG-functie.  

“Elke organisatie geeft op een eigen manier invulling aan de FG-functie. Maar eigenlijk ligt er altijd een uitdaging voor de FG om het advies en het toezicht onafhankelijk uit te voeren. De AP en de Belgische privacytoezichthouder hebben al boetes opgelegd aan organisaties waar de FG onvoldoende onafhankelijk was.” Zo stelde de Gegevensbeschemingsautoriteit België dat een FG die leidinggeeft aan een afdeling waarop de FG ook toezicht dient uit te oefenen, in strijd is met de AVG.  

Uitdaging als organisatie

Bij de uitdaging om de verantwoordelijkheden voor advies en toezicht vanuit een onafhankelijke positie te combineren speelt volgens Hoovers ook de organisatiegrootte mee. “Als adviseur wil je vroegtijdig in contact staan met de business, terwijl je als toezichthouder ook een zekere distantie nodig hebt. Anders loop je het risico dat je toezicht gaat houden op je eigen werk. In grotere organisaties gaan collega’s zoals privacy officers en privacy champions doorgaans aan de slag met de implementatie van de AVG-verplichtingen. Bijvoorbeeld als er een verwerkingsregister moet worden opgesteld en bijgehouden. Het grote risico is dan dat de FG niet vroegtijdig wordt betrokken en advies soms pas wordt ingewonnen als het eigenlijk al te laat is. In kleinere organisaties is de FG soms het eerste aanspreekpunt en de enige kennishouder voor privacy-issues, en wordt een actieve bijdrage aan de implementatie van maatregelen verwacht. Dat zet de toezichthoudende taken van de FG onder druk. In de praktijk blijft het dus, per organisatie, zoeken naar de juiste balans tussen advies en toezicht.” 

Externe versus interne FG 

Wat ziet Hoovers als de uitweg uit de dilemma’s waarvoor FG’s staan? “Met een externe FG is het eenvoudiger om de verantwoordelijkheid voor de implementatie van maatregelen voor dataprotectie goed intern te beleggen. Interne FG’s die niet beschikken over een dedicated team, kunnen privacy officers en privacy champions activeren onder collega’s. Een collega die al verantwoordelijk is voor data, IT of security is een logische samenwerkingspartner voor de FG, die je kunt uitleggen welke keuzes en acties er mogelijk zijn – zonder dat je zelf beslissingen neemt of activiteiten uitvoert. Door de verschillende rollen helder te definiëren zorg je dat de verantwoordelijkheden voor de implementatie goed worden belegd.” 

Succesfactoren voor FG’s 

Een FG moet een goede toegang hebben tot de business en de directie en voldoende middelen om de taken uit te voeren, zegt Hoovers over de randvoorwaarden voor een succesvolle FG-functie. “Je moet weten wat er in de organisatie speelt, de juiste sparringpartners hebben en nauwe contacten onderhouden met de business. De FG heeft overzicht nodig over de verwerkingen van persoonsgegevens in de organisatie. Praat daarom met de werkvloer, wees toegankelijk, werk aan awareness, en betrek bondgenoten zoals HR, finance en IT. Leg duidelijk uit wat je rol is als FG, zodat je niet gezien wordt als een showstopper maar een business partner.” 

Hoovers benadrukt ook het belang van een privacy governance framework, dat structuur geeft aan de diverse taken, rollen en verantwoordelijkheden. “Je onderscheidt daarin verschillende gebieden, zoals transparantie, het verwerkingsregister en datalekken. Voor elk onderdeel worden de processen, procedures en verantwoordelijkheden vastgelegd. Inclusief de afspraken over wanneer en hoe de FG bij issues, plannen en projecten wordt betrokken.” Het framework besteedt idealiter ook aandacht aan prioriteiten in dataprotectie, zodat bewuste keuzen worden gemaakt over activiteiten en doelstellingen, en er voldoende structuur en overzicht is om als FG de taken vanuit een duidelijk kader uit te voeren. 

Nieuw in uw functie als FG

Aan FG’s die nieuw zijn in een organisatie adviseert Hoovers om te starten met een gap analyse. “Daarmee krijg je snel inzicht in hoe dataprotectie en compliance ervoor staan, en welke acties nodig zijn. Als FG kan je dan ook prioriteiten stellen in je toezicht.” 

Om echt succesvol te zijn, hebben FG’s steeds meer kennis nodig over privacygerelateerde onderwerpen en wet- en regelgeving, voegt Hoovers toe. “Het privacyrecht wordt alsmaar breder: je kunt niet meer om thema’s zoals security, Artificial Intelligence en online marketing heen. Al deze onderwerpen brengen ook nieuwe wet- en regelgeving mee, waarvan je op de hoogte moet zijn. Bij Considerati zien we een trend richting ethisch innoveren. Zorg als FG dat je daarover meedenkt.”  

Impact maken 

Hoovers is een van de deelnemers aan de panelsessie over de positionering, regie en invloed van de FG tijdens het Dataprotectie & Privacy Congres. Samen met Magdalena Magala, FG van de gemeente Zaanstad en Niels Huijbregts, FG van SURF, deelt hij actuele inzichten uit de alledaagse FG-praktijk. 

“Zorg voor betrokkenheid bij de organisatie: ga steeds actief het gesprek aan”, geeft Hoovers als voorbeeld van een must-do. “Voorkom dat je solistisch opereert. Zoek andere FG’s op en leer van elkaar. Je hebt ook collega’s nodig die enthousiast zijn over privacy. Het maakt niet eens zo veel uit wat hun functie in de organisatie precies is. Het kunnen medewerkers zijn van IT, security, HR, maar ook uit de business. Als je maar awareness en draagvlak voor dataprotectie creëert, want zo maak je pas echt impact.” 

Actuele inzichten en praktijkervaringen over de FG-functie opdoen? Tijdens het Dataprotectie & Privacy Congres op 6 en 7 oktober in Amsterdam geven diverse experts van Considerati en andere specialisten antwoorden op uw vragen. Kijk voor meer informatie en het volledige programma op de website van Outvie.