De functionaris gegevensbescherming (FG) heeft een brede functie. Enerzijds is zijn taak om te informeren en adviseren, anderzijds moet hij toezien op de naleving van de Algemene verordening gegevensbescherming (AVG). Om deze taken goed uit te kunnen voeren, heeft hij een beschermde positie. Hij mag niet worden ontslagen of gestraft voor de uitvoering van zijn taken en mag daarover geen instructies ontvangen. Formeel is hij dus onafhankelijk. Tegelijkertijd heeft de FG geen handhavingsbevoegdheden; hij kan geen instructies geven of boetes opleggen. Is de FG een tandeloze toezichthouder?
De handhaving van de AVG is belegd bij de nationale toezichthouders, in Nederland de Autoriteit Persoonsgegevens (AP). Het samenwerken met de AP en het optreden als contactpunt voor de AP behoort tot de taken van de FG, evenals het plegen van overleg met de AP. Daarbij wordt van de FG niet verwacht dat deze als klikspaan optreedt. Is de FG dan tandeloos, of zijn er toch mogelijkheden om het toezicht tanden te geven?
Een bevoegdheid van de FG die nogal eens onvoldoende wordt benut, is de rapportage aan de hoogst leidinggevende van de organisatie. Dit betekent dat de FG de hoogst leidinggevende op de hoogte brengt van de stand van zaken aangaande privacy. Deze kan dat naast zich neerleggen, maar neemt daarmee wel de verantwoording voor gerapporteerde misstanden. Wanneer dat blijkt, bijvoorbeeld wanneer misstanden later naar buiten komen, zal de hoogst leidinggevende, bijvoorbeeld de directeur of de bestuurder, uit moeten leggen waarom er geen actie is ondernomen op de gerapporteerde bevindingen. Mogelijk heeft dat ook consequenties voor zijn aansprakelijkheid als bestuurder.
In veel gevallen zal een directeur of bestuurder dan toch kiezen voor het nemen van verantwoording door het nemen van maatregelen. En dat is, vermoed ik, de reden geweest dat deze rapportage is opgenomen in de AVG.(1)
Maar daarmee is de kous niet af. Naast de bestuurder zijn er anderen die de rapportage goed kunnen gebruiken of zelfs nodig hebben. Zo is de accountant, die de controle van de jaarrekening uitvoert, gehouden verslag uit te brengen over de ‘betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking’.(2) De rapportage van de FG kan daarover belangrijke informatie bevatten. Daarnaast moet de accountant financiële risico’s beoordelen. Het kan dan gaan om indirecte risico’s voor de organisatie, zoals reputatie en marktaandeel, maar ook om directe financiële risico’s, zoals het risico op boetes en het moeten vergoeden van schade. De eerste boete van de AP bedroeg bijna een half miljoen euro, voor de meeste organisaties een significant bedrag.(3) Daarnaast zijn de afgelopen periode aan meerdere personen individuele schadevergoedingen voor immateriële schade toegekend van 250 en 500 euro.(4)(5) Dat is voor de meeste organisaties geen significant risico, maar wat wanneer bij een datalek of een onrechtmatige verwerking niet 1 maar 1.000 of 10.000 betrokkenen recht hebben op deze schadevergoeding? Kortom, de accountant zal in de rapportage van de FG een belangrijke bron vinden voor het beoordelen van de financiële risico’s voor de organisatie en deze opnemen in zijn rapportage. En die gaat weer naar de interne toezichthouders van de organisatie.
Interne toezichthouders kunnen ook direct gebruikmaken van de rapportage van de FG. Te denken valt aan de Raad van Commissarissen (RvC) of de Raad van Toezicht (RvT). Bij overheden geldt hetzelfde voor organen die ook een controlerende taak hebben, zoals de gemeenteraad bij gemeenten. Ook de ondernemingsraad (OR) kan inzage in de rapportage verlangen, voor zover het gaat over de verwerking van gegevens van medewerkers. De ondernemer is immers verplicht de OR - ten minste - jaarlijks te informeren over zaken waarover de OR advies- of instemmingsrecht heeft. De verwerking van gegevens van medewerkers is daar onderdeel van.(6)
Tenslotte kunnen ook externe toezichthouders gebruikmaken van de rapportage van de FG aan de hoogst leidinggevende. Allereerst natuurlijk de AP, maar ook de sectorale toezichthouders zoals de Autoriteit Financiële Markten (AFM) en De Nederlandsche Bank (DNB) voor financiële instellingen, de Autoriteit Consument & Markt (ACM) voor commerciële organisaties, de Inspectie Gezondheidszorg en Jeugd (IGJ) voor zorginstellingen, de onderwijsinspectie voor het onderwijs, et cetera. Voor al deze toezichthouders is de omgang van de organisatie met gegevens van klanten, patiënten/cliënten, leerlingen, etc. immers van belang.
Voor overheidsorganisaties geldt nog meer dat een rapportage van de FG niet in de la hoeft te blijven liggen. Elke burger en dus ook een journalist, kan deze rapportage opvragen op grond van de Wet openbaarheid bestuur (Wob).
Door de relevantie van de rapportage van de FG voor de jaarrekening, intern en extern toezicht, sluit het takenpakket van de FG aan op dat van de controller, afdelingen interne controle en interne auditors. Bij de overheid gaat het ook om gemeentelijke en andere rekenkamers. De samenwerking hoeft niet beperkt te zijn tot de voorbereidingen voor de jaarrekening, maar ook om algemene compliance. De FG hoeft het dus niet alleen te doen.
Dit alles valt en staat natuurlijk met het opstellen van de rapportage door de FG. Volgens de AVG is dat geen keuze, maar een feit. De manier waarop de FG verslag uitbrengt aan de hoogst leidinggevende blijft een keuze. Wij stellen voor dat (ook) schriftelijk te doen. Dan kan de FG zijn tanden laten zien en is hij geen tandeloze toezichthouder.
(1) AVG. Artikel 39.
(2) AVG. Artikel 38.3, laatste zin.
(3) Burgerlijk Wetboek. Artikel 2:9, lid 4.
(4) https://www.privacy-web.nl/nieuws/haga-beboet-voor-onvoldoende-interne-beveiliging-patientendossiers
(5) https://www.privacy-web.nl/jurisprudentie/rechter-kent-schadevergoeding-toe-wegens-inbreuk-privacy-en-avg
(6) https://www.privacy-web.nl/jurisprudentie/immateriele-schadevergoeding-voor-werknemer-wegens-schending-avg
(7) Wet op ondernemingsraden. Artikel 27, lid 1: k,l en artikel 31, lid 2: a,b.
Dit artikel is ook te vinden in het dossier AVG
