ZBC Kennisbank

Kies je voor een Privacy Officer of voor een Functionaris Gegevensbescherming – FG

 

De AVG schrijft voor, dat vanaf mei 2018 nogal wat organisaties een functionaris voor gegevensbescherming ofwel een FG moeten hebben. Volgens artikel 37 geldt het voor overheden en voor organisaties die veel of bijzondere gegevens verwerken. Zoals zoveel in de AVG lekker duidelijk dus.

In onze kennisbank echter blijven we de FG redelijk consequent Privacy Officer noemen. Dat doen wij heel bewust. Als organisatie heb je immers niet zoveel aan een functionaris (gegevensbescherming) die zich netjes aan zijn taakomschrijving uit de AVG houdt. Je wilt meer. Daarom gebruiken wij de term Privacy Officer. Tenslotte heb je ook niet een jurist, een marketeer of een kwaliteitsfunctionaris in dienst, omdat het wettelijk bepaald is. Nee, je hebt ze omdat ze toegevoegde waarde leveren. En om dezelfde reden benoem je een Privacy Officer of FG. Aan een FG die zich onafhankelijk opstelt en zich vooral met de AVG bezig houdt, heb je weinig. Het gaat erom, dat zo’n functionaris toegevoegde waarde levert voor de organisatie (het bedrijfsbelang). Te veel FG’s zijn daar te weinig mee bezig. Vandaar de ‘geuzennaam’ die wij gebruiken voor de FG: ‘Privacy Officer’. Overigens wil ik daarmee niet zeggen, dat een goede FG niet ook tevens ‘Privacy Officer’ kan zijn.

Verschillen tussen een Privacy Officer en een FG

De verschillen tussen een Privacy Officer en een FG betreffen vooral de volgende punten:

  • De AVG gaat ervan uit, dat de organisatie AVG compliant is en dat de FG zorgt voor het in stand houden hiervan. De werkelijkheid is echter, dat de meeste organisaties niet AVG-compliant zijn. In 2018 zullen veel organisaties hierin nog een belangrijke stap moeten zetten. Als de FG dat niet op zich neemt, zal de organisatie nooit AVG-compliant worden.
  • De FG is in hoge mate onafhankelijk en voldoet aan zijn taakomschrijving, als hij toeziet op de naleving van de AVG. Voor een Privacy Officer staat het bedrijfsbelang centraal. De Privacy Officer denkt mee met de directie en is er voor om de organisatie te helpen haar doelen te bereiken door gebruik te maken van de ruimte die de AVG biedt.
  • Naast het zorgen voor AVG compliance moet de Privacy Officer ook sterk gericht zijn op het risico van reputatieschade voor het bedrijf zelf en voor klanten en ketenpartners en zo nodig preventieve acties voorstellen. (Zie bijvoorbeeld ‘Een online awareness training informatiebeveiliging en privacy kan zinvol zijn’.)
  • In de taakomschrijving van de FG staat, dat hij vooral moet signaleren en rapporteren. De Privacy Officer is echter vooral ook oplossingsgericht, adviseert over mogelijkheden, over de aanpak en neemt zo nodig het voortouw als verbeteringen gerealiseerd moeten worden.
  • Bij nieuwe ontwikkelingen draagt de Privacy Officer juist ook oplossingen aan, die risico’s uit de privacy effect beoordeling kunnen verminderen door de toepassing van privacy by design.
  • Bij een afwijking denkt de Privacy Officer mee over het beperken van reputatieschade en het leren van fouten. (Zie ook ‘Datalek is vaak juist geen menselijke fout’.)

Voordelen van een Privacy Officer boven een FG

Als je ervoor kiest de rol van Privacy Officer  in te vullen als hierboven beschreven, dan kan vooral de administratieve last beperkt worden. Veel van de registraties door de FG worden binnen de organisatie al gedaan. Het heeft weinig zin dat de FG dit nog eens over doet. De Privacy Officer maakt gebruik van bestaande registraties en beoordeelt deze vanuit privacy perspectief. Vooral als je primair bewerker bent, dan liggen de taken van Security Officer en Privacy Officer operationeel zo dicht tegen elkaar aan, dat het vaak handiger is om deze taken te combineren. (Zie ook ‘De gevolgen van de AVG 2018 voor bewerkers’.) Maar ook als je verantwoordelijke bent, is de rol van Privacy Officer zelden een volledige baan. De rol is te combineren met een andere functie. Je kunt ook overwegen om een parttime Security Officer van buiten te halen. Dat is vaak goedkoper dan zelf de benodigde kennis en competenties up-to-date te houden. Want de Security Officer heeft maar een beperkt aantal reguliere taken en wordt vooral ook ingeschakeld als de organisatie behoefte heeft aan specialistische kennis. 
Maar het grootste voordeel is natuurlijk nog steeds, dat een Privacy Officer de organisatie helpt om haar doelstellingen te realiseren en zo weinig mogelijk hinder te ondervinden van de AVG. Niet voor niets staat in artikel 1 van de AVG, dat de AVG het vrije verkeer van persoonsgegevens niet mag beperken of verbieden. (Zie ook ‘Juridische onderbouwing voor een pragmatische aanpak van de AVG’.)

Keuze van de Privacy Officer of FG

Laat je dus bij de benoeming van een FG of Privacy Officer niet leiden door de minimale eisen die de AVG voorschrijft. Kijk vooral naar de toegevoegde waarde die de functionaris voor de organisatie kan hebben. Selecteer iemand die voor de invulling van die taak berekend is. Deze functionaris moet op directieniveau kunnen acteren en moet de weg weten in het moeras van de AVG, zodat bedrijfsdoelen bereikt worden en bedrijfsrisico’s beperkt blijven. (Zie ook ‘Je weg vinden door het moeras van privacy en informatiebeveiliging’.) Hij/ zij moet oplossingsgericht en pragmatisch denken. Zo’n Privacy Officer is in staat toegevoegde waarde te leveren. En dan maakt het niet uit of je wel of niet wettelijk verplicht bent om een FG te hebben. Dan wil je als organisatie gewoon zo iemand hebben.
Als je in de organisatie iemand aan boord hebt, die voldoet aan het bovenstaande profiel, dan kan hij of zij bijgespijkerd worden over de AVG in onze tweedaagse ‘Cursus Privacy Officer in de praktijk’.
Heb je niet zo iemand in huis, met ook tijd om als privacy officer op te treden, dan kunnen wij als ZBC uiteraard zo’n parttime Privacy Officer, die ook op afroep beschikbaar is, leveren. Zeker ook als je nu nog niet AVG compliant bent. Dan heb je immers iemand nodig om dit op korte termijn te realiseren. (Zie ook ‘Je privacy in twee maanden AVG compliant’.) Er moet dan wel even doorgepakt worden.
Maar ook hier geldt weer, privacy is geen kwestie van moeten, maar van willen. (Zie ook ‘AVG is vooral een afweging en geen verplichting’.) En met de keuzes die je maakt, laat je ook aan je klanten en ketenpartners zien, hoeveel respect je hebt voor hun privacy.

DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur(s): Wiebe Zijlstra | 15 januari 2018


5 Responses to “Kies je voor een Privacy Officer of voor een Functionaris Gegevensbescherming – FG”

  1. poihan schreef:

    Is de combinatie van de functies PO en FG niet lastig in de zin dat je de onafhankelijkheid van de FG lastig kunt aantonen?

  2. Roel Willemse schreef:

    Goedemiddag Wiebe,

    Over de verplichting van het aanstellen van een Functionaris Gegevensbescherming het volgende:

    Het aanstellen van een Functionaris Gegevensbescherming wordt in een aantal gevallen verplicht onder de AVG. De Autoriteit Persoonsgegevens heeft hierover gepubliceerd: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp243rev01_nl.pdf

    Op diverse websites, blogs etc wordt dit onderwerp omschreven en daar valt mij op dat er veel verschillende opsommingen en interpretaties bestaan voor situaties waarin het verplicht is een functionaris aan te stellen. Hierop ben ik de stukken ingedoken en zie het volgende:

    In hoofdstuk 2, paragraaf 1 wordt dieper ingegaan op de verplichte aanwijzing. Hier worden drie specifieke gevallen genoemd.
    https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp243rev01_nl.pdf
    a) wanneer de verwerking door een overheidsinstantie of overheidsorgaan wordt verricht;
    b) wanneer de kerntaken van de verwerkingsverantwoordelijke of de verwerker bestaan uit verwerkingen die regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen; of
    c) wanneer de kerntaken van de verwerkingsverantwoordelijke of de verwerker bestaan uit verwerking op grote schaal van speciale categorieën van gegevens of van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten.

    In hoofdstuk 2.1.1 t/m 2.1.5 worden deze drie punten nader toegelicht en uitgewerkt. Hieruit ontstaat volgens mij een verwarring. De richtlijnen doen overkomen (mede door gebruik van voorbeelden) alsof de uitwerkingen in 2.1.1 t/m 2.1.5 de meetlat vormen waartegen je moet toetsen of jouw organisatie wel of geen FG’er moet aanstellen.

    Echter de uitwerking bestaat uit vijf onderdelen in plaats van de drie genoemd onder 2.1 a/b/c=
    De begrippen, kerntaken, op grote schaal en regelmatige en stelselmatige observatie die in 2.1 onder b gezamenlijk zijn omschreven worden nu apart uiteen gezet terwijl ze in mijn ogen uitsluitend samen een criteria vormen waartegen getoetst moet worden.
    In veel blogs en andere artikelen lees je dat bedrijven die op grote schaal persoonsgegevens verwerken een FG’er moeten aanstellen. Zoals ik het lees is dit dus alleen het geval indien deze verwerking tot de kerntaak van het bedrijf hoort en tevens bestaat uit regelmatige en stelselmatige observatie.

    Ik ben benieuwd naar uw mening.

  3. Norman van Es schreef:

    Mag een FG ook denken als een PO?
    Ik denk dat een FG, vanuit art. 5.1.f AVG een FG++ moet zijn.

    • Wiebe Zijlstra schreef:

      Norman, helemaal eens. Maar er zijn nog heel veel mensen, die denken dat de FG er is voor de AVG en niet voor het bedrijf.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *