Het FG-jaarverslag als vlekkentest

Ik neem zomaar aan dat u als bestuurder in het openbaar bestuur veel inhoudelijk leeswerk hebt. Eén van de terugkerende rapporten is het jaarverslag. Steeds vaker levert ook uw Functionaris Gegevensbescherming (FG), de intern toezichthouder op de naleving van de AVG (en soms de Wpg) een jaarverslag op.

Hoewel ik in algemene zin zowel ‘transparantie’ als ‘verantwoording afleggen’ toejuich, heb ik m’n bedenkingen bij stukken waarvan op voorhand niet duidelijk is wat de lezer kan verwachten. Wie legt aan wie verantwoording af en waarover?

Het jaarverslag van een FG is daarmee een soort inktvlekken-test geworden. Je kunt er van alles in zien en daar betekenis aan hechten, maar dit wijzigt de vlek zelf niet.

In sommige FG-jaarverslagen is te lezen hoe de organisatie ervoor staat qua naleving van de AVG. Qua transparantie best gaaf om te lezen, maar eigenlijk is (een paragraaf in) het reguliere jaarverslag logischer. Het is immers de organisatie en niet de FG die verantwoordelijk is voor de naleving van de AVG.

In andere FG-jaarverslagen zie ik een waslijst aan AVG-misstanden opgesomd, kennelijk omdat de FG niet eerder zijn zegje heeft kunnen doen bij de bestuurder.

Om uit te vinden wie gelijk heeft en wat de vlek -het FG jaarverslag- nu eigenlijk moet voorstellen is het handig de theorie en geschiedenis van jaarverslagen erbij te betrekken. In dit geval is het zinvol om drie verschillende soorten jaarverslagen te onderscheiden:

(1) het algemene jaarverslag,

(2) het jaarverslag van een extern toezichthouder,

(3) het jaarverslag van een intern toezichthouder

Eerst maar eens het ‘gewone’ jaarverslag: Dit wordt in algemene zin gebruik om de input en output van een organisatie(onderdeel) te verantwoorden. Het gaat om het afleggen van verantwoording aan aandeelhouders, investeerders, maar ook aan maatschappelijke organisaties en andere geïnteresseerden.

Bij de meeste publieke organisaties kijkt men niet alleen naar ‘input’ en ‘output’, maar ook naar de ‘outcome’. Er staat dan niet alleen met hoeveel fte en middelen (input) hoeveel producten (output) er zijn opgeleverd, maar ook wat deze producten of diensten hebben opgebracht (outcome). Anders gezegd: je geeft niet alleen weer wat je hebt gedaan met je middelen, maar ook wat je ermee hebt bereikt. Dat wat je wil bereiken is vaak lastiger te onderbouwen of in cijfers uit te drukken. Denk aan ‘goed onderwijs’, ‘mensgerichte zorg’ of ‘veilig vervoer’. Vandaar dat steeds vaker bepaalde (publieke) waarden worden nagestreefd, waardoor in het jaarverslag verantwoord kan worden in hoeverre de inzet heeft bijgedragen aan het bereiken van deze waarden. Vanaf de jaren ’90 is bovendien gemeengoed geworden een paragraaf aan het jaarverslag toe te voegen over de wijze waarop deze doelen bereikt werden. Dit kreeg een plek onder de noemer ‘maatschappelijk verantwoord ondernemen’, ‘duurzaamheid’, en bijvoorbeeld ook ‘diversiteit’.

Jaarverslagen van extern toezichthouders

Waar toezichthouders fundamenteel verschillen van andere organisaties is dat zij veel minder rechtstreeks verantwoordelijk kunnen zijn voor de outcome dan andere organisaties. Daarom staan in jaarverslagen van toezichthouders historisch meer cijfers over output dan outcome genoemd. Er wordt dan verantwoording afgelegd door een overzicht te geven van: ‘het aantal klachten dat is behandeld’, ‘het aantal onderzoeken dat is gestart en afgrond’, en bijvoorbeeld ‘het aantal waarschuwingen of boetes dat is opgelegd’. Dit past bij het klassieke beeld van de toezichthouder als handhaver van de (wettelijke) norm.

Inmiddels wordt van toezichthouders verwacht dat zij niet alleen vanuit de letter, maar ook vanuit de geest van de wet redeneren. Ze moeten niet alleen constateren dat de wet wordt overtreden en de overtreders hierop aanspreken, maar dit op zodanige wijze doen dat de dit het meeste oplevert voor de te beschermen maatschappij. De toezichthouder wordt daarmee zelf medeverantwoordelijk gemaakt voor de outcome in plaats van alleen de output. Vergelijk het met een scheidsrechter: deze is niet verantwoordelijk voor wat de spelers allemaal uithalen, maar kan door consequent en duidelijk fluiten wel degelijk bijdragen aan een eerlijke wedstrijd met weinig overtredingen.

Omdat ook de extern toezichthouder verantwoording moet afleggen over budget en keuzes loont het de moeite om de aanpak en prioritering goed te onderbouwen in het jaarverslag. Zonder een té grote broek aan te trekken (zelfs het beste toezicht kan niet een maakbare, risicoloze samenleving garanderen) kan de extern toezichthouder het jaarverslag gebruiken om te onderbouwen welke publieke vruchten geplukt kunnen worden als gevolg van slim ingezet toezicht.

Jaarverslag van intern functionarissen (zoals de FG, de vertrouwenspersoon, de ombudsfunctionaris etc.)

Voor commissarissen en andere ‘min of meer’ interne toezichthouders, zoals leden van de Raad van Toezicht, is het de gewoonte in een jaarverslag aan te geven welke andere functies zij -al dan niet bezoldigd- bekleden en hoe deze zich verhouden tot de gewenste onafhankelijkheid in hun werk. Ook staat doorgaans in het verslag een niet-gedetailleerd overzicht van werkzaamheden én een oordeel over de toegang en middelen die de toezichthouder heeft ervaren. Over handhaving of ingrijpen wordt niet gesproken, dat is aan de organisatie zelf of de extern toezichthouder. Tot zover weinig spannends, maar sommige intern toezichthouders gaan een stap verder. Dan wordt het tricky. Sommige FG’s mogen (moeten?) op de stoel van de bestuurder zitten en leveren een compleet overzicht van de stand van zaken inzake de naleving van de AVG. Dat is net zo bijzonder als wanneer de accountant zelf de jaarrekening opstelt. Andere intern toezichthouders verrassen de bestuurder met een opsomming van onregelmatigheden. Ik ben zéker voor het benoemen van bevindingen en signalen aan de bestuurder, maar waarom zou dat in een jaarverslag moeten? Wat mij betreft bevat een jaarverslag geen verrassingen voor de organisatie en scheren we ‘intern toezicht’ en ‘externe verantwoording’ niet over één kam.

Wat mij betreft legt de organisatie zélf verantwoording af over zowel de naleving van de AVG als de wijze waarop ze de FG in staat stellen intern toezicht te houden. Dat is zowel in lijn met de verantwoordingsplicht van de AVG als de theorie over jaarverslagen. Degene die verantwoordelijk is geeft zelf inzicht en neemt (publieke) verantwoordelijkheid voor de gemaakte keuzes.

Tot slot: ik weet dat voor sommige FG’s het FG-jaarverslag een reddingsboei is. Omdat het de énige plek is waar de FG zonder censuur van diverse managementlagen de bestuurder kan bereiken. De FG is in zo’n geval eigenlijk klokkenluider. Ik kan niet anders dan begrip opbrengen voor de FG die hier haar toevlucht toe moet nemen, maar gezond is die situatie niet. Benjamin Rush schreef in 1783: ‘Two wrongs don’t make one right: two wrongs don’t right a wrong’. Dat lijkt me hier ook een mooie waarschuwing. Klokkenluiden zou juist bij FG’s niet aan de orde moeten zijn, omdat in hun geval rechtstreekse toegang tot de hoogst verantwoordelijke wettelijk is geregeld. Over hoe dit in de praktijk uitpakt moeten niet de FG’s maar de bestuurders verantwoording afleggen.

Schrijf dus gerust in uw eigen jaarverslag op hoe vaak u tijd vrijmaakt om uw FG te spreken en hoe uw organisatie de onafhankelijkheid van de FG borgt. Dan kunnen FG’s precies datgene doen waar ze zo goed in zijn: intern toezicht houden en u informeren. En als hierover dan toch publieke verantwoording in de vorm van een jaarverslag nodig is, laat dit dan gaan over wat de FG zelf denkt te moeten verantwoorden.