De Algemene Verordening Gegevensbescherming (AVG) schrijft voor dat een Functionaris voor Gegevensbescherming (FG) moet worden aangesteld in de volgende situaties:

• in geval van een overheidsinstantie, of
• in geval van regelmatige of stelselmatige observatie op grote schaal, of
• indien grootschalige verwerking van bijzondere- of strafrechtelijke persoonsgegevens plaatsvindt

Intern of extern?

In art. 37, lid 6 wordt gezegd dat de FG “een personeelslid is (…) of taken op grond van een dienstverleningsovereenkomst verricht”. Oftewel, je mag een eigen personeelslid als FG aanwijzen, of iemand daarvoor inhuren. Het ligt in de verwachting, dat vooral kleinere organisaties sneller zullen kiezen voor een externe FG. Daarbij kunnen de volgende overwegingen een rol spelen:

1. Noodzakelijke expertise: kennis van relevante wetgeving, begrip van de verwerkingen, kennis van IT en gegevensbeveiliging, kennis van de organisatie en de sector, vermogen om een ‘gegevensbeschermingscultuur’ in de organisatie te stimuleren, zie (1).
2. Betere borging van de continuïteit. Indien de eigen FG vertrekt, wandelt daarmee alle kennis weg (en de investeringen in de training).
3. Een professionele FG zal beter op de hoogte zijn en bijblijven dan een eigen FG die het (zeker bij kleinere organisaties) ‘erbij’ moet doen.

Overwegingen

Bij de keuze om wel of niet te kiezen voor een externe FG spelen een aantal aandachtspunten en overwegingen een rol.

1. Voor de volledigheid: Het aantrekken van een externe FG betekent niet hetzelfde als AVG compliant zijn. Indien een organisatie denkt met het aantrekken van een FG’er de verantwoordelijkheid voor AVG compliance te kunnen uitbesteden, dan is dat een misvatting. En een goede FG zal dat ook nooit accepteren.
2. Omdat de FG een onafhankelijke positie in moet kunnen nemen en rechtstreeks rapporteert aan de hoogste leiding, kan het voor een kleinere organisatie lastig zijn om iemand in de eigen organisatie te vinden die voldoet aan de kwalificaties en toch geen lijnverantwoordelijkheid heeft waardoor een belangenconflict zou kunnen ontstaan.
3. Tegelijk is het zo dat een externe FG geen onderdeel is van de organisatie en daarmee minder mogelijkheden heeft om vanuit de dagelijkse praktijk het functioneren van gegevensbescherming te beoordelen en eventuele ‘misstanden’ te signaleren. Het bevorderen van een ‘gegevensbeschermingscultuur’ is voor een externe FG moeilijker te realiseren dan voor een interne FG.
4. Vanuit de verantwoordelijkheid van de FG voor het toezien op naleving en het adviseren met betrekking tot gegevensbeschermingseffect-beoordelingen, zal de externe FG zich telkens moeten laten informeren over veranderingen in de context, processen en toegepaste technologieën van de organisatie. Een FG zal dus heel regelmatig bij de organisatie aanwezig moeten zijn en zowel het formele beleid als de praktische uitvoering moeten toetsen tegen de AVG eisen. Dan helpt het ook indien de FG de branche kent en weet wat er speelt.

Kortom, een externe FG heeft voordelen maar ook nadelen. En de organisatie die een externe FG inzet zal moeten beseffen dat AVG compliance niet kan worden uitbesteed maar inzet van de hele organisatie vergt.

Race-to-the-bottom

Tenslotte, met het verschijnsel externe FG zijn er natuurlijk veel commerciële partijen en zelfstandig professionals die zich als FG aanbieden. De huidige schaarste beschermt waarschijnlijk tegen het aanbieden van deze diensten tegen (te) lage tarieven. Maar als het aanbod van FG’s toeneemt zou een ‘race-to-the-bottom’ kunnen ontstaan. Dat zou schadelijk zijn voor de mate van betrokkenheid die nodig is bij de organisaties in kwestie. En daarmee snijden FG’s zichzelf in de vingers.

Slimme constructies

Kortom, als de organisatie voor de beslissing staat om intern een FG op te (laten) leiden of een externe FG te zoeken, zal zich rekenschap moeten geven van bovenstaande overwegingen. Daarbij zijn ook slimme constructies mogelijk, zoals het delen van een FG met gelieerde organisaties, of met organisaties op dezelfde locatie.

Ik ben heel benieuwd naar ervaringen van organisaties bij het aanstellen van een interne FG of het inhuren van een externe FG. Commentaar en aanvullingen zijn welkom!