Op 16 januari 2024 heeft het Europees Comité voor gegevensbescherming (European Data Protection Board of EDPB) een belangrijk rapport over de positie van functionarissen voor gegevensbescherming (FG’s) binnen organisaties in de Europese Unie (EU) gepubliceerd. Met het zogeheten 2023 Coordinated Enforcement Action Designation and Position of Data Protection Officers wil het EDPB inzicht bieden in hoeverre de AVG-bepalingen ten aanzien van FG’s worden nageleefd en met welke problemen FG’s in de praktijk worden geconfronteerd bij het uitvoeren van hun taken. In totaal verzamelde het EDPB, via vragenlijsten, gegevens van 15.180 organisaties en 2.382 FG’s verspreid over alle EU-landen. In deze blog wordt ingegaan op de belangrijkste bevindingen en aanbevelingen van het rapport.
In het rapport valt allereerst op dat niet alle organisaties een FG hebben aangesteld, ook als dat volgens de Algemene verordening gegevensbescherming (AVG) wel verplicht is. Het gaat daarbij met name om organisaties die niet op de hoogte zijn van deze verplichting, of organisaties die veronderstellen dat ze niet onder één van de verplichte categorieën vallen. Op basis van art. 37 AVG zijn de volgende organisaties verplicht om een FG aan te stellen:
Het onderzoek geeft als aanbeveling om meer awareness te creëren binnen organisaties, voor de vereisten van het aanstellen van een FG.
Onvoldoende middelen
Een tweede resultaat uit het onderzoeksrapport gaat over dat FG’s aangeven vaak over onvoldoende middelen te beschikken om hun taak optimaal uit te kunnen voeren. Dit ondanks de verplichting van organisaties op grond van art. 38 lid 2 AVG om deze middelen aan een FG ter beschikking te stellen. Wat daarbij opvalt is dat FG’s in de publieke sector vaker aangeven middelen tekort te komen dan in de private sector. Dit is een zorgwekkende observatie omdat het aanstellen van een FG in de publieke sector een verplichting is, gezien de grote rol die de FG speelt in het beschermen van de rechten van betrokkenen en de grootschalige gegevensverwerking. Hoewel het onderzoek hier geen duidelijke verklaring voor geeft, merken wij dat in de overheidssector een FG vaak met meerdere gemeenten wordt gedeeld of voor een beperkt aantal uur – meestal 8 uur in de week – wordt ingehuurd. In de zorgsector zien wij dat de middelen beperkt zijn om een FG aan te stellen of daar onvoldoende uren beschikbaar voor zijn.
In het onderzoek wordt de aanbeveling gedaan aan de verwerker en de verwerkingsverantwoordelijke om per situatie na te gaan welke middelen een FG nodig heeft binnen de organisatie. De verantwoordingsplicht om aan te tonen hoe de FG wordt ondersteund in zijn taken wordt in de aanbeveling benadrukt.
Bovendien blijkt uit onderzoek dat in sommige gevallen de FG niet over voldoende expertise beschikt. Enkel beschikken over ervaring is niet voldoende, stelt het rapport. Het rapport acht het van belang om voortdurend cursussen en trainingen aan de FG aan te bieden of te faciliteren dat deze worden gevolgd.
Geen omschrijving taken FG
Daarnaast wijst het onderzoek uit dat organisaties vaak geen beschrijving hebben van de taken die de FG binnen de organisaties uit moet voeren. De onderzoekers geven aan dat dit komt doordat het onvoldoende duidelijk is welke taken een FG op grond van de AVG uit moet voeren. Het gevaar daarvan is dat er onvoldoende zicht is op de werkzaamheden van de FG en daarmee ook het belang van deze werkzaamheden. Hierdoor kan de functie van de FG worden ondermijnd. Onze ervaring is juist dat de AVG duidelijk is over de taken die de FG toebedeeld heeft gekregen en maakt duidelijk onderscheid wanneer de taken de verwerkingsverantwoordelijke of verwerker toekomen en wanneer het taken zijn die bij de FG behoren. Wij merken dat in de organisatie vaak misverstanden zijn over de rol van de FG maar dat heeft vaak te maken dat de organisaties niet geïnformeerd zijn over deze rol.
FG kan niet altijd onafhankelijk opereren
Ook blijkt uit het onderzoek dat FG’s niet altijd onafhankelijk kunnen opereren binnen een organisatie. Dit heeft volgens het EDPB verschillende oorzaken. Zo blijkt in een aantal gevallen dat de FG door druk van het management of een tekort aan budget niet toekomt aan het opstellen en presenteren van rapportages, met name aan het hogere management. Uit de vragenlijsten volgt dat het hogere management het doorgaans voldoende vindt om slechts één of tweemaal per jaar met de FG te sparren. Bijna 17% van de organisaties vindt het zelfs helemaal niet nodig dat de FG en het senior management met elkaar om tafel zitten.
Het onderzoek komt op basis van de vragenlijsten met een aantal aanbevelingen, die nodig zijn om de rol van de FG binnen organisaties te verstevigen.
Allereerst is er een belangrijke rol weggelegd voor nationale toezichthouders, zoals de Autoriteit Persoonsgegevens (AP) in Nederland, om ervoor te zorgen dat organisaties op de hoogte zijn van hun verplichtingen onder de AVG.
Ten tweede is het belangrijk dat het hogere management op de hoogte is van de werkzaamheden van de FG binnen de organisatie. Dit om te voorkomen dat er geen belang wordt gehecht aan de structurele implementatie van de AVG. Hoewel de AVG geen frequentie verplicht stelt, is het zeer belangrijk dat het hogere management en de FG frequent met elkaar sparren.
Ten derde raadt het EDPB aan om belangrijke processen, zoals het opstellen van rapportages, doelstellingen en het takenpakket van de FG op papier te zetten. Hierdoor raakt de functie van de FG steeds verder verankerd in de organisatie, iets wat hard nodig is.
Met de komst van AI is er nog een reden om te investeren in een FG. Door de komst van AI zal er namelijk binnen een organisatie goed moeten worden gekeken in hoeverre het gebruik van AI de implementatie van de AVG beïnvloedt.
Tot slot legt het onderzoek de nadruk op de rol die toezichthoudende autoriteiten hebben op de positionering van de FG. Om de naleving van de AVG zo goed mogelijk te garanderen, moeten verwerkingsverantwoordelijken en verwerkers de nodige middelen beschikbaar stellen. Denk aan het bieden van een opleiding of het creëren van awareness, zodat de FG de taak naar behoren kan vervullen.
Heb je een vraag over de rol van de Functionaris Gegevensbescherming (FG)? Of heeft jouw organisatie ondersteuning nodig op dit gebied? Neem dan vrijblijvend contact met ons op. We zijn er ook voor allerlei andere vragen omtrent Privacy & Legal. Wij zijn te bereiken via sales@cuccibu.nl of +31 (0) 85 303 2984.
Reduce Risk, Create Value!