Nationaal Register Functionarissen Gegevensbescherming: wat betekent het nu voor FG’s?

Er is een Nationaal Register Functionarissen Gegevensbescherming in de maak. Jean Paul van Schoonhoven, managing partner van L2P en docent van Outvie, vertelt wat – aankomend – Functionarissen Gegevensbescherming (FG’s) erover moeten weten om goed voorbereid te zijn. 

Nationaal Register Functionarissen Gegevensbescherming

Het Centrum Informatiebeveiliging en Privacybescherming (CIP) verkende in 2023 in opdracht van het ministerie van Justitie en Veiligheid de wenselijkheid en haalbaarheid van een openbaar register voor Functionarissen Gegevensbescherming (FG’s). Het vertrekpunt van de verkenning was dat het inhoudelijke niveau en de strategische positionering van de ruim 10.000 FG’s in Nederland nogal uiteenlopen. Het Nationaal Register zou volgens het CIP een impuls geven aan de kwaliteit van het toezicht van FG’s. 

“Het is een mooi initiatief, dat ik van harte toejuich”, zegt Jean Paul van Schoonhoven van adviesbureau L2P. “De vakinhoudelijke kennis van FG’s is heel wisselend, en organisaties weten niet precies wat ze van een FG kunnen en mogen verwachten. Er is momenteel geen enkele onafhankelijke kwaliteitstoets voor FG’s. De certificeringsprogramma’s van de Amerikaanse IAPP fungeren soms als een kwaliteitskeurmerk, maar deze zijn niet goed toegesneden op de praktijk.” 

Kwaliteitscriteria als succesfactor 

Jean Paul van Schoonhoven is opgeleid als jurist en bedrijfseconoom en is managing partner van L2P, een adviesbureau dat is gespecialiseerd in informatiebeveiliging, privacy en compliance. Van Schoonhoven werkt voor publieke en private organisaties in verschillende rollen – onder meer als FG en senior manager – aan privacy-, compliance- en integriteitsmanagement. Hij werkte eerder onder andere bij de Autoriteit Persoonsgegevens, de Autoriteit Financiële Markten (AFM) en PostNL. Van Schoonhoven is docent van diverse Outvie-trainingen en -opleidingen, waaronder de training FG in de publieke sector. 

Een belangrijke succesfactor voor het toekomstige Nationaal Register Functionarissen Gegevensbescherming zou volgens Van Schoonhoven kunnen zijn dat er serieuze kwaliteitseisen voor inschrijving komen. “Het zou een gemiste kans zijn als je zonder inhoudelijke kwaliteitstoets wordt toegelaten tot het register, of als je de huidige FG’s zonder meer zou toelaten tot het register. De beheerder van het register zou zelf een toets, zoals een examen, kunnen opstellen. Of er zouden criteria kunnen worden gesteld voor de kwaliteit van opleidingen van marktpartijen.”

Opleidingsaanbod privacy professionals

De Outvie-opleiding Certified Data Protection Officer wordt al door veel FG’s gevolgd. De tiendaagse multidisciplinaire opleiding is speciaal ontwikkeld voor gevorderde privacy professionals. Deelnemers worden na een afsluitend examen opgenomen in het openbare CDPO-register. Om de CDPO-titel te voeren, is permanente educatie verplicht. Outvie organiseert hiervoor onder meer het jaarlijkse Actualiteitencongres Dataprotectie & Privacy, de Actualiteitenreeks Next Step Privacy Compliance en de leergang Senior Privacy Professional. 

Meer kwaliteit, beter toezicht 

Een van de beoogde functies van het Nationaal Register Functionarissen Gegevensbescherming is om de kwaliteit van het interne toezicht te verbeteren. Van Schoonhoven ziet de onafhankelijkheid en deskundigheid van FG’s als een speerpunt. “Een FG is binnen een organisatie vaak de grootste – en enige – expert op het gebied van dataprotectie. Het is voor een organisatie heel waardevol om deze kennis in huis te hebben. Maar het risico is een te sterke afhankelijkheid van je interne toezichthouder, de FG.

Je wilt natuurlijk niet dat het privacymanagement van een organisatie staat of valt met een FG. Het eigenaarschap voor dataprotectie hoort thuis in de eerste lijn. Daarnaast wordt de rol van FG nogal eens gecombineerd met beleidsbepalende functies, waardoor er een gebrek aan onafhankelijkheid kan ontstaan. De taken en verantwoordelijkheden van FG’s zijn moeilijk verenigbaar met bijvoorbeeld de functie van een compliance manager.” 

Volgens de Autoriteit Persoonsgegevens (AP) heeft een FG bovengemiddelde kennis van de nationale en Europese wet- en regelgeving voor gegevensbescherming. Daarnaast vereisen de toezichthoudende taken dat een FG goed op de hoogte is van onder meer de gegevensverwerkingen, de IT en de informatiebeveiliging van de organisatie. Verder moet een FG volgens de toezichthouder in staat zijn om binnen de organisatie een cultuur van gegevensbescherming te ontwikkelen. 

Functionarissen Gegevensbescherming Register

“De komst van een openbaar register voor FG’s zou de AP kunnen aanjagen om meer werk te maken van systeemtoezicht”, reageert Van Schoonhoven. “De AP ziet de FG nu nog te vaak als een uithangbord van de AP. De ervaringen in onder meer de financiële sector leren dat systeemtoezicht, zoals van de AFM, organisaties meer richting geeft voor compliance. De markttoezichthouder focust dan op de systeemfouten en uitwassen in een sector. FG’s krijgen daarmee meer gezag en autoriteit als interne toezichthouders die zich actief inzetten voor preventief risicomanagement van hun organisatie en effectief sturing geven aan de veranderingen die nodig zijn voor compliance. De AP zou zich in zo’n situatie terughoudender kunnen opstellen tegenover organisaties met een FG die is opgenomen in het Nationaal Register – en pas optreden als het interne toezicht niet functioneert.”  

Kwaliteit en positionering van de FG 

Het CIP maakte de verkenning van het Nationaal Register Functionarissen Gegevensbescherming in opdracht van het ministerie van Veiligheid en Justitie. Naast de kwaliteit was ook de organisatorische positionering van FG’s een onderdeel van de studie. Van Schoonhoven: “Ik verwacht niet dat het register een directe bijdrage levert aan de organisatorische positionering van FG’s, tenzij aan inschrijving in het register de voorwaarde wordt gesteld dat een FG op een specifiek niveau in de organisatie is aangesteld.

Maar wat de juiste positionering is, verschilt echt per organisatie. Het gaat het erom dat je als FG opereert waar je het meest effectief bent en dat je tegelijkertijd toegang hebt tot het hoogste management. De organisatorische positionering kan net zo goed het frontoffice zijn als de bestuurskamer. Een goede FG staat midden in de organisatie. Ik zie nog te vaak wat ik fop-FG’s noem: privacydeskundigen die weliswaar organisatorisch goed gepositioneerd zijn, maar vervolgens in een kamertje aan het einde van de gang zitten, zich nooit met de operationele praktijk inlaten, uitsluitend naar aanleiding van vragen in actie komen, en vooral theoretische antwoorden communiceren via e-mails en rapporten. De komst van het Nationaal Register zou daar hopelijk verandering in kunnen teweegbrengen.” 

Van Schoonhoven ziet wel kansen om het Nationaal Register door te ontwikkelen tot een instrument om FG’s aan het tuchtrecht te onderwerpen. “In de financiële sector kennen we de Tuchtrecht Banken, die toetst of bankmedewerkers zich houden aan de wettelijk verplichte eed en de bijbehorende gedragscode. Ook voor bijvoorbeeld zorgverleners, advocaten en auditors gelden tuchtrechtelijke bepalingen. Het tuchtrecht versterkt de kwaliteitsborging in de beroepsgroep, en draagt uiteindelijk ook bij aan de onafhankelijkheid en positionering van individuele professionals.” 

Goed voorbereid van start 

Het Nationaal Register Functionarissen Gegevensbescherming gaat naar verwachting in 2024 van start. Van Schoonhoven zou graag zien dat er dan heldere en stevige kwaliteitseisen gelden voor de toelating tot het register, die onafhankelijk worden getoetst en die gepaard gaan met een verplichting tot permanente educatie.

Wat kunnen (aankomende) FG’s nu doen om goed voorbereid te zijn op de komst van het register? “Volg een goede opleiding, en ga actief aan de slag met de theoretische kennis en praktische vaardigheden die je daarin opdoet”, adviseert Van Schoonhoven. “De vierdaagse training FG in de publieke sector is daarvoor een gedegen basis. Je krijgt de bouwstenen aangereikt om effectiever te opereren in je organisatie. Maar wat je vervolgens met de inzichten in je dagelijkse werkpraktijk doet, is natuurlijk minstens zo belangrijk.”