Om de functionaris gegevensbescherming (FG) binnen organisaties de helpende hand te bieden, publiceert de Autoriteit Persoonsgegevens (AP) uitgangspunten voor het inrichten van sterk intern toezicht. Deze moeten de FG een sterkere positie bezorgen.

De rol van een functionaris gegevensbescherming (FG) is essentieel voor de bescherming van de persoonsgegevens die deze organisatie verwerkt. In de praktijk blijkt het niet vanzelfsprekend dat een FG zijn werk goed kan uitoefenen. De AP ontvangt regelmatig signalen dat FG’s niet of te laat betrokken worden bij plannen waarbij gegevens worden verwerkt, niet de juiste stukken ontvangen of onvoldoende tijd krijgen om te kunnen doen wat er van een FG wordt verwacht. De invulling van het interne toezicht is dus lang niet bij alle organisaties goed genoeg geregeld. Hierdoor lopen burgers, patiënten en klanten het risico dat gegevens niet goed beschermd worden. Daarom publiceert de Autoriteit Persoonsgegevens (AP) nu uitgangspunten voor de positionering van de FG. Katja Mur, bestuurslid van de AP: “Door FG’s op de goede manier te positioneren, kunnen zij een nog grotere rol spelen bij het voorkomen én oplossen van privacyproblemen.”

Uitgangspunten
De wet verbindt duidelijke eisen aan de positionering van een FG. Zo is het essentieel dat de FG onafhankelijk kan toezien op de naleving van de Algemene verordening gegevensbescherming (AVG) in de betreffende organisatie.
Naast de wettelijke bepalingen heeft de AP nu concrete uitgangspunten opgesteld over onder meer de informatiepositie van de FG, de middelen die de FG nodig heeft en de toegang van de FG tot het bestuur van de organisatie.
Zo wordt gesteld dat voorkomen beter is dan genezen. De organisatie moet de FG daarom in een vroeg stadium betrekken bij de (door)ontwikkeling van producten en diensten en vastleggen wat er met de adviezen van de FG gebeurt.

Goed zichtbaar
Belangrijk is ook dat de FG goed zichtbaar is binnen de organisatie en direct, zonder tussenkomst van anderen,  benaderbaar en aanspreekbaar is. Ook voor personen van buiten de organisatie.
De FG grijpt in als het (mogelijk) fout gaat en hij risico’s signaleert bij (voorgenomen) verwerkingen. De FG spreekt de organisatie hierop aan en moet op het hoogste bestuurlijke niveau zijn zorgen kunnen uiten. De organisatie moet dat faciliteren. De organisatie moet ook de onafhankelijke positie van de FG waarborgen. De FG neemt een centrale positie in bij contacten tussen de AP en de organisatie. In die positie moet de FG op de hoogte zijn van de communicatie van de AP met de organisatie. Omdat de FG een onafhankelijke positie heeft kan deze overigens niet namens de organisatie spreken.

De uitgangspunten zijn hier te downloaden.