'Gegevensbeschermer moet eigen vlees niet keuren'

Gemeenten zijn verplicht om een Functionaris Gegevensbescherming (FG) aan te stellen. KING heeft dinsdag een handreiking gepubliceerd voor de rol en de taken van zo'n functionaris. In de handreiking staan antwoorden op diverse vragen van gemeenten over dit onderwerp. Er zijn risico's verbonden aan het combineren van diverse rollen, zo waarschuwt KING.

Spagaat tussen controle en uitvoeren

In de handreiking wordt ingegaan op de positionering van een FG. De onafhankelijkheid van de FG moet gewaarborgd zijn, zo schrijft KING. Een FG krijgt daarom geen instructies van de gemeente en verwerkers, wel moet er worden gerapporteerd aan het college van B&W over de werkzaamheden. Overleg met de Autoriteit Persoonsgegeen is ook een optie, maar een meldingsplicht bij onregelmatigheden is er niet. KING waarschuwt voor een 'spagaat' tussen veel uitvoerende taken voor een FG en het controleren van werkzaamheden binnen de gemeente. Het kan betekenten dat de FG min of meer zijn eigen werkzaamheden moet controleren. 'Een dergelijke spagaat zou de geloofwaardigheid en betrouwbaarheid van de functie niet ten goede komen.'

Verschillende rollen combineren soms lastig
KING waarschuwt ook voor voldoende scheiding tussen de functies die in samenhang zijn, zoals de Chief Information Securty Officer (CISO) en de Privacy Officer (PO). Het kan namelijk zo zijn dat de FG een rol is van een functionaris die ook andere werkzaamheden verricht binnen een gemeente. Volgens KING kan het bijvoorbeeld lastig zijn voor een gecombineerde FG/CISO functie om intern toezicht uit te kunnen oefenen op toepassingen die door de CISCO zijn uitgewerkt. Ook een gedeelde functie van PO en FG kent risico's: het resultaat is dat een functionaris die beide rollen vervuld vaak niet genoeg tijd heeft om de beoogde wettelijke rol van toezichthouders op te pakken en controles uit te voeren, zoals een PO vaak functioneert. Door de dagelijkse werkdruk zou een FG/PO dan bijna volledig bezig zijn met het geven van voorlichting en het adviseren bij privacyvraagstukken op casusniveau.

Sjoerd Hartholt

Bekijk alles van Sjoerd Hartholt

Reacties: 5

U moet ingelogd zijn om een reactie te kunnen plaatsen.

Jan H

@ Spijker: als je de berichtgeving van de laatste maanden gevolgd hebt, dan moet je gezien hebben dat er heel veel schort aan de gegevensbescherming. Sowieso wordt cybersecurity te weinig onderkend door zowel individuele personen als ook bedrijven en overheidsorganisaties. Goed dus dat KING tijdig met deze handreiking komt, want als je die goed leest dan heb je aan een jaar misschien net genoeg om de voorbereidingen inclusief het overleg met de OR op tijd klaar te hebben. In de begroting 2018 kun je nog middelen vrijmaken voor de FG.

@BB: regelmatig zie ik spel- en grammaticafouten zoals nu 'CISCO' en 'vervuld'. Daar zijn oplossingen voor.

Peter / Projectmanager

De AVG gaat *uitdrukkelijk* in op de onafhankelijkheid van de rol van de DPO en op de garanties voor een correcte taakvervulling en voorkomen van belangenconflicten.

Een meldingsplicht bij onregelmatigheden rust op de verwerkingsverantwoordelijke. De DPO ziet daarop toe.

Van een 'spagaat" is dus geen sprake. De onafhankelijke rol van de DPO als liaison-officer met de toezichthoudende autoriteit is wellicht 'organisatie-politiek gevoelig' maar op zich niet bijzonder. De AVG bevat daartoe nú reeds voldoende handvatten.

Het heeft de schijn dat KING waarschuwt voor issues welke in de AVG reeds afgedekt zijn en ook in nadere regelingen nog verder ingevuld zullen worden.

Interessant daarbij zijn met name de nog in te vullen 'Codes of Conduct'. Met enige zekerheid valt te voorspellen dat deze Codes of Conduct meer tanden zullen hebben dan de in Nederland gebruikelijke Corporate Governance Codes.

Opvallend in de handreikingen vind ik de afwezige aandacht voor de grote hoeveelheid whitepapers die Europees inmiddels gepubliceerd zijn over de rol en positie van de DPO. Vanuit hun beroepsethiek zullen (kandidaat-)DPO's deze echter wel reeds gevonden hebben.

Nóg opvallender vind ik echter het aan de handreikingen ontbreken van aandacht voor een programma-visie.

Nergens in de handreikingen blijkt dat AVG-compliance een zaak is die nú geregeld dient te worden wil de organisatie 25 mei 2018 klaar zijn. Daarvoor is een organisatiebrede programma-aanpak vereist, waarbij de DPO een centrale rol dient te spelen.

De DPO dient dan ook met 'enige spoed' te worden aangesteld, niet in mei 2018.

Richard Claassens / Informatie/IT-architect | gespecialiseerd in privacy

Voor degene die geïnteresseerd zijn in de wetgeving die bij de aanstelling van een Functionaris Gegevensbescherming relevant is, heb ik een visualisatie gemaakt. Op- en aanmerkingen zijn welkom. Zie link op slideshare:

https://www.slideshare.net/richard.claassens/ben …

richrard

Wat zijn jullie toch vreselijk oneerlijk vertel de waarheid eens.

H. Wiersma / gepens.

Gemeenten opgepast voor dit nieuwe bureaucratisch fenomeen. Wie gaat dit betalen????

Deel dit artikel

Sjoerd Hartholt

Lees meer

Hoe bouw je aan een toekomstbestendig digitaal fundament?

Kabinet gestart met traject om algoritmeregister te verplichten

AI-model voorspelt nieuwe stek wolf

De kosten voor cybersecurity rijzen de pan uit voor gemeenten

Investeerders doen reddingspoging noodlijdend Atos

Hoe bouw je aan een toekomstbestendig digitaal fundament?

Kabinet gestart met traject om algoritmeregister te verplichten

AI-model voorspelt nieuwe stek wolf

Reacties: 5