23 februari 2025

Privacy

Governance

Toezichthouders

DPO

Wat is de taak van een FG?

Sinds de invoering van de AVG hebben veel organisaties een FG aangesteld. In bepaalde gevallen is dit verplicht, bijvoorbeeld bij overheidsinstanties, wanneer de organisatie stelselmatig personen observeert op grote schaal (bijvoorbeeld bij scholen) of wanneer grootschalig bijzondere persoonsgegevens worden verwerkt (zoals bij zorginstellingen of de politie). Daarnaast kan een organisatie vrijwillig een FG aanstellen. 

De FG heeft als taak om onafhankelijk toezicht te houden binnen de organisatie. De organisatie moet dit actief faciliteren. Enerzijds moet de FG informeren en adviseren over de AVG en de naleving daarvan. FG’s zijn vaak ‘het’ privacy aanspreekpunt binnen de organisatie. Anderzijds verstrekken zij advies, werken samen met en zijn contactpunt voor de toezichthouder (zoals de AP). De AP  en de European Data Protection Board  (het AVG-adviesorgaan op Europees niveau) hebben eerder al kaders opgesteld hoe de functie van FG vormgegeven moet worden.  

De praktijk: een FG met een dubbele pet

Ondanks bovenstaande kaders zie de AP in de praktijk regelmatig zorgwekkende combinaties van functies voorkomen, waarbij de FG niet onafhankelijk is. De AP ziet met name de volgende twee problematische situaties:

  1. De FG bepaalt in de andere rol (mede) het doel van en de middelen voor de verwerking van de persoonsgegevens. Dit risico is met name hoog wanneer de FG-functie gecombineerd wordt met een managementfunctie die uit besluitvorming of meebepalen bestaat. 

  2. De FG verwerkt in een andere rol persoonsgegevens of verricht werkzaamheden op privacyvlak. Dit is het geval bij functies zoals Privacy Officer (PO), Chief Information Security Officer (CISO), Compliance Officer of een andere functie die zelf persoonsgegevens verwerkt. 

    3. Het combineren van zo’n rol leidt tot toezicht op het eigen werk, oftewel: de slager keurt zijn eigen vlees. 

    Verwachte acties vanuit de AP

    Bovenstaande situaties zijn onwenselijk volgens de AP en in 2025 zal zij hier verder op handhaven. Aangekondigde acties zijn een publicatie waarin deze problematiek wordt toegelicht en aandringen dat de European Data Protection Board in de nieuwe richtlijnen belangenverstrengeling benoemt. Buiten deze ‘papieren’ acties, komt de AP bij mogelijke belangenconflicten in actie. FG’s kunnen schriftelijke vragen verwachten waarbij ze de onafhankelijkheid van hun functie dienen toe te lichten. Ook kan de organisatie zelf uitgenodigd worden voor een zogeheten normoverdragend gesprek, waarin de AP normen voor de rol en positie van de FG toelicht. Onderneemt de verwerkingsverantwoordelijke daarna geen actie om het belangenconflict op te lossen? Dan kan de AP bestuurlijke sancties opleggen, zoals het opleggen van een boete of het doen van onderzoek en deze met naam en toenaam publiceren.  

    Let op belangenverstrengeling 

    Organisaties met een FG-functie doen er verstandig aan om deze onder de loep te nemen. Vermoedt u een belangenverstrengeling? Scheid de functies of schakel hulp in van een externe en/of interim FG. Hierbij wordt de onafhankelijkheid zo goed als mogelijk gewaarborgd. Heeft u behoefte aan meer informatie? Onze privacyspecialisten helpen u graag verder. U kunt hiervoor contact opnemen via het contactformulier op onze website. 

    1 Positionering van de FG.
    Guidelines van de European Data Protection Board (EDPB)

Over de auteurs

  • Iwan van Munster

    Iwan van Munster is partner bij BDO Legal en schrijft regelmatig blogs over juridische actualiteiten in verschillende rechtsgebieden.

    BDO

Gerelateerd nieuws

'Als we zo doorgaan, gaat de datacenter-sector de duurzaamheidsdoelstelling voor 2030 niet halen'

De groeiende afhankelijkheid van onze samenleving van digitale technologieën zoals AI veroorzaakt een steeds grotere ecologische voetafdruk. Kristina Irion, universitair hoofddocent aan het Instituut voor Informatierecht, onderzoekt de wetgeving en het beleid van de Europese Unie rondom datacenters. In een recent artikel leggen zij en co-auteur Jessica Commins uit waarom, ondanks maatregelen om de energie-efficiëntie en het verbruik van hernieuwbare energie te verhogen, de ongebreidelde groei van de datacentersector het bereiken van de duurzaamheidsdoelstelling voor 2030 in gevaar brengt.

De noodzaak van digitale autonomie en soevereiniteit

De gemeente Amsterdam lijkt een eerste stap gezet te hebben richting digitale autonomie en soevereiniteit, onder meer om de afhankelijkheid van big-tech bedrijven te verminderen. Hoe haalbaar en praktisch is deze beweging voor de (rijks)overheid? Daar laat ik graag mijn licht over schijnen.

Data & Privacy

Cyber Resilience Act: cyberbeveiligingsvereisten voor softwareleveranciers

De Cyber Resilience Act (“CRA”) reguleert cyberbeveiliging op productniveau en stelt in het kort beveiligingseisen aan producten met digitale elementen. Met de CRA introduceert de EU als eerste wereldwijd wetgeving die een minimaal beveiligingsniveau voor dergelijke producten verplicht stelt.

Data & Privacy

Vertrouwen krijgen in data en datakwaliteit door middel van data lineage

Data wordt in grote hoeveelheden en soorten aangemaakt, geanalyseerd, rondgestuurd en gebruikt voor uiteenlopende doeleinden. Denk hierbij aan foto’s delen op social media, maar ook aan registratie van persoonsgegevens door overheidsinstanties. Bij gebruik van data is de oorsprong en kwaliteit hiervan niet altijd bekend. Maar ook wanneer data aangemaakt wordt, is er niet altijd zicht op hoe deze data gebruikt gaat worden. Voor een digitaler wordende rechtsstaat is het noodzakelijk om als maatschappij en overheid vertrouwen te kunnen hebben in data en de kwaliteit ervan—data lineage kan daaraan bijdragen, aldus een nieuw WODC-rapport.

Data & Privacy

Meer nieuws