Document - Ten Holter Noordam advocaten

Is de FG wel onafhankelijk genoeg?

Onlangs heeft de Belgische Autoriteit Persoonsgegevens (Gegevensbeschermingsautoriteit – GBA) het telecombedrijf Proximus een boete van € 50.000,- opgelegd. Proximus werd beboet vanwege belangenverstrengeling van de aangestelde Functionaris voor de Gegevensbescherming (FG). Ondanks dat het een Belgische kwestie betreft, zijn de overwegingen van de GBA ook relevant voor aangestelde Nederlandse FG’s. De AVG is een Europese verordening en is daardoor rechtstreeks van toepassing binnen alle EU lidstaten en dus ook in Nederland. Heeft uw organisatie een FG aangesteld, dan is deze blog zeker de moeite waard.

De situatie bij Proximus

Het telecombedrijf had een eigen medewerker aangesteld als FG. Dat is op basis van de AVG goed mogelijk. Een FG kan een eigen werknemer zijn, maar ook een zelfstandige die hiertoe een opdracht wordt verstrekt. De werknemer bij Proximus bekleedde echter ook een andere functie, namelijk die van ‘directeur audit, risk en compliance’. In het kader van die functie was deze medewerker verantwoordelijk voor onder meer compliance issues, risico management en interne audits. Daarnaast was hij dus aangesteld als FG.

Vereisten aan een FG

De FG adviseert en informeert de organisatie over verplichtingen uit de AVG. Ook ziet hij toe op naleving van de AVG en werkt hij samen met de toezichthoudende autoriteit (AP). De AVG geeft de FG voor de uitvoering van deze taken een bijzondere positie binnen de organisatie waar hij is aangesteld. Zo dient de FG door de organisatie tijdig en naar behoren te worden betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens. Ook zal de FG toegang moeten hebben tot persoonsgegevens en verwerkingsactiviteiten en zal hij de benodigde middelen moeten krijgen om zijn taken te vervullen. Hij rapporteert aan de persoon of het orgaan met de hoogste zeggenschap binnen de organisatie, mag geen instructies ontvangen ter uitvoering van zijn taken als FG en heeft ontslagbescherming in verband met de uitvoering van zijn taken. Tenslotte mag de FG ook andere taken uitvoeren binnen de organisatie, zo lang er maar geen belangenconflict optreedt. De GBA heeft overwogen dat daarvan bij Proximus wel sprake was.

Belangenconflict

De GBA meende dat de rol van director audit, risk en compliance niet te verenigen viel met die van FG. Het kwam er op neer, zo vond de GBA dat de bewuste werknemer in zijn rol van FG het beleid zou moeten controleren dat hij zelf had opgesteld, dan wel waarvoor hij mede verantwoordelijk was in zijn andere rol. Er was onvoldoende mogelijkheid voor de FG om onafhankelijk te adviseren, hetgeen juist een kerntaak is van de FG, aldus de GBA.

Positie FG goed overwegen

In veel organisaties die een FG hebben aangesteld, heeft de FG ook nog andere taken dan enkel die uit hoofde van de AVG. Dat is logisch als de organisatie geen full time FG nodig heeft gezien de omvang van de organisatie of gezien de omvang en complexiteit van de verwerking van persoonsgegevens. Een andere functie erbij is, zo geeft de AVG ook uitdrukkelijk aan, goed mogelijk, tenzij dit leidt tot een belangenverstrengeling. Of daarvan sprake is, of dat de kans op een belangenconflict bestaat of wordt vergroot vanwege de andere taken van de werknemer, zal binnen elke organisatie goed moeten worden onderzocht. Gezien de taken van de FG hebben veel FG’s een achtergrond en ervaring in IT en/of een link met juridische/ administratieve zaken. De combinatie van de FG rol met een functie binnen compliance, interne audit of risk management, zoals bij Proximus het geval was, is dus op zich begrijpelijk. Enkel onderzoek naar de deskundigheid voor de rol van FG is dus niet voldoende om te beoordelen wie als FG zou moeten worden aangesteld. Ook de onafhankelijkheidstoets is van groot belang. De Belgische boete wijst uit dat toezichthouders ook op dit punt naleving van de AVG in de gaten houden. Neem dan ook gerust contact op met de privacy specialisten van Ten Holter Noordam advocaten – privacy@thna.nl – als u vragen heeft over de rol en positie van de FG binnen uw organisatie.