U bent hier

OR & Medezeggenschap
FG moet onafhankelijk zijn, maar is dit vaak niet

FG moet onafhankelijk zijn, maar is dit vaak niet

De positie van de functionaris gegevensbescherming (FG) is voor verbetering vatbaar, blijkt uit recent onderzoek van de European Data Protection Board. Voor de ondernemingsraad (OR) is dit onderzoek een goede aanleiding om met de bestuurder en de FG in gesprek te gaan over het privacybeleid binnen de organisatie en de rol die de FG daarbij heeft.

In het kader van de Europese Dag van de Privacy, die dit jaar op 28 januari plaatsvond, heeft de European Data Protection Board (EDPB) een grootschalig Europees onderzoek gedaan naar de positie en het werk van de functionaris gegevensbescherming (FG) in organisaties. De FG is de persoon in de organisatie die toezicht houdt op de naleving van de privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). De onderzoeksresultaten bevestigen wat de Nederlandse privacytoezichthouder Autoriteit Persoonsgegevens (AP) al vermoedde: in veel organisaties is de positie van de FG niet in orde.

Functionaris gegevensbescherming heeft geen onafhankelijke positie

Uit het onderzoek komt onder meer naar voren dat de meeste FG’s vinden dat zij hun toezichthoudende taken in het algemeen goed en zonder bemoeienis van bovenaf kunnen uitvoeren. Zo krijgen zij regelmatig trainingen om hun kennis en vaardigheden te ontwikkelen, hebben zij duidelijk omschreven taken en krijgen zij voldoende informatie en middelen om hun werk goed te kunnen doen. Het onderzoek wijst echter ook dat uit - hoewel onafhankelijkheid cruciaal is vanwege de aard van de functie - FG’s in de praktijk lang niet altijd een onafhankelijke positie hebben, met mogelijke belangenverstrengeling tot gevolg. Ook kunnen zij (vermeende) overtredingen van de privacywet niet altijd direct bij het hoogste management melden, waardoor effectief beleid vaak uitblijft.

FG geeft OR inzicht in (naleving) privacybeleid

De onderzoeksresultaten zijn voor de OR een goede aanleiding om eens met de bestuurder en de FG in de organisatie in gesprek te gaan. Hoe onafhankelijk kan de FG functioneren? Krijgt hij voldoende gelegenheid, middelen en training om zijn toezichthoudende taken goed te kunnen uitvoeren? En tegen welke struikelblokken loopt hij aan? Dit geeft de OR niet alleen inzicht in mogelijke verbeterpunten rondom de rol van de FG binnen de organisatie, maar ook voor (de naleving van) het privacybeleid als geheel. De OR kan dit vervolgens met de bestuurder bespreken en heeft instemmingsrecht als de bestuurder de regels op het gebied van privacy en de bescherming van persoonsgegevens wil wijzigen (artikel 27, lid 1k WOR).

Over het onderzoek naar de functionaris gegevensbescherming

De European Data Protection Board (EDPB) is een onafhankelijk orgaan waarin alle nationale privacytoezichthouders uit de Europese Unie (EU) samenwerken. In Nederland is dit de Autoriteit Persoonsgegevens (AP). In 2023 deed de EDPB met hulp van 25 Europese privacytoezichthouders onderzoek naar het functioneren van FG’s bij zowel bedrijven als overheidsinstanties. Aan het onderzoek namen zo’n 17.000 respondenten deel.
De functionaris gegevensbescherming is een onafhankelijke functie in organisaties. Voor sommige organisaties is het aanstellen van een FG verplicht. Nederland telt nu ongeveer 12.000 organisaties met een FG.