De Autoriteit Persoonsgegevens heeft op 24 juni een paper uitgebracht om de positionering van de Functionaris Gegevensbescherming in organisaties te verduidelijken. Daarmee geeft de AP verheldering over de rol van FG.
In de paper onderstreept de AP nogmaals het belang van Privacy by design en roept op om de FG in een vroeg stadium te betrekken bij de ontwikkeling van producten en diensten. Van belang daarbij is dat de FG en het Bestuur van de organisatie samen vastleggen wat er met de adviezen van de FG, die overigens niet opgevolgd hoeven te worden, gebeurt.
Als toezichthouder heeft de FG de verplichting om in te grijpen als het fout gaat. Hij spreekt de organisatie aan en stelt een rapport op. Ook hier geldt weer dat de FG geen verantwoordelijkheid heeft voor het overnemen van zijn adviezen. Wel moet hij toegang krijgen tot het hoogste bestuurlijke niveau.
Opmerkelijk is dat de AP onderstreept dat de FG zich tot de AP kan wenden als:
– hij zijn werk niet naar behoren uit kan voeren omdat zijn onafhankelijke positie wordt aangetast
– hij geen toegang krijgt tot het hoogste bestuurlijke niveau
– geen tijd en middelen krijgt.
Met betrekking tot het melden van klachten door betrokkenen, geeft de AP aan dat zij er van uitgaat dat de klager zich eerst tot de FG wendt. Heeft de FG niet toegezien op de afhandeling van de klacht dan wordt aan betrokkene gevraagd alsnog contact met de FG op te nemen. Is de FG wel betrokken dan wordt zijn input meegenomen bij de beoordeling van de klacht.
En let op: de AP geeft geen oordeel over de bruikbaarheid van het advies van de FG en hoeft daarover ook geen uitleg te geven aan betrokkene, FG of organisatie.
Als laatste geeft de AP geeft verheldering voor de rol van FG op het gebied van de onafhankelijke positie die hij heeft.
– De FG kan niet namens de organisatie spreken
– De FG kan geen functies vervullen waarin hij operationele verantwoordelijkheid voor de verwerking van gegevens draagt. Voorbeelden die worden gegeven: hoofd financiën, strategie, marketing, IT, HRM of CISO
– De FG kan zich niet opstellen als advocaat van de organisatie. Een advocaat kan wel FG zijn.
– De FG is geen contactpunt als de AP een onderzoek uitvoert.
Met een externe FG van DePrivacyGuru loop je nooit het risico op vermenging van rollen en heb je een ervaren, kundige FG.
Meer weten? Neem contact op!