Optimaliseer de rol van de FG: 8 praktische tips voor succes

De FG is de interne privacy toezichthouder. Voor sommige organisaties is het aanstellen van een FG verplicht, zoals voor overheidsorganisaties en organisaties die op grote schaal bijzondere persoonsgegevens verwerken. De positie, taken en verantwoordelijkheden die een FG heeft, zijn wettelijk vastgelegd. Wanneer een organisatie niet voldoet aan zijn FG-verplichtingen dan kan dit resulteren in een boete van maximaal €10 miljoen of 2% van de wereldwijde jaaromzet.

In 2023 heeft er op initiatief van de EDPB een grootschalig onderzoek plaatsgevonden naar de rol van de FG in 25 Europese landen. De resultaten hiervan zijn in januari 2024 gepubliceerd. Het onderzoek hield in dat de nationale privacy toezichthouders 61.962 ontvangers (organisaties en FG’s) hebben benaderd met het verzoek om vragenlijsten in te vullen. Uiteindelijk hebben ruim 15.000 organisaties en 2.000 FG’s de vragenlijst ingevuld. De EDPB had interesse in de rol van de FG nu dit volgens haar de ‘key player’ in het ‘data governance systeem’ is. De FG functioneert namelijk als verbindende factor tussen wetgeving en de praktische toepassing daarvan door organisaties.

Uit het onderzoek bleek onder meer dat ongeveer de helft van de FG’s fulltime in deze rol werkzaam is en dat de functie veelal wordt ingevuld vanuit een legal/compliance functie of een managementfunctie. Daarnaast vervult ongeveer 1/3 van de FG’s deze rol voor meerdere organisaties. Qua kennis, beschikken de FG’s vaak over privacy kennis en juridische kennis over het gebied waarin de organisatie werkzaam is, organisatieprocessen en informatiebeveiliging.

Aandachtspunten

Hieronder volgt een (samengevatte) weergave van de aandachtspunten die uit het onderzoek naar voren kwamen:

• Niet alle organisaties die verplicht zijn om een FG aan te stellen hebben dit ook gedaan.
• FG’s krijgen te weinig (menselijke en financiële) middelen toegewezen, hetgeen een verantwoordelijkheid is voor de organisatie waarvoor de FG werkt.
• Er worden te weinig eisen gesteld aan de kennis en kunde van een FG. Daarbij krijgt de FG te weinig mogelijkheden om zijn kennis up-to-date te houden, hetgeen o.a. zeer relevant is vanwege de recente ontwikkelingen rondom de “Big Five Laws” te weten de Digital Services Act, Digital Markets Act, Data Governance Act, Data Act en Artificial Intelligence Act.
• FG’s kunnen hun taken niet geheel volgens de privacywetgeving uitvoeren. Zo is er vaak een onduidelijke scheiding tussen de verantwoordelijkheden, wordt de rol van de FG onvoldoende gepromoot en (schriftelijk) ingebed in organisatieprocessen en ligt er een uitdaging in het borgen van een veilige en onafhankelijke werkomgeving voor de FG. Daarnaast worden adviezen van de FG’s lang niet altijd goed opgevolgd.
• FG’s zijn niet in staat om hun werk onafhankelijk en vrij van tegenstrijdige belangen uit te voeren. Zo ligt er een specifieke uitdaging voor FG’s die ook een managementrol hebben en krijgt een deel van de FG’s tegenstrijdige taken.
• FG’s zijn veelal niet in de gelegenheid om rechtstreeks aan de hoogste managementlaag te rapporteren. Dit vormt ook voor organisaties een risico omdat zij verantwoordelijk zijn voor het naleven van de privacywetgeving en dus zicht moeten hebben op de status hiervan.

In het kader van leuker kunnen we het niet maken, wel makkelijker, hieronder een aantal pragmatische tips om met de aandachtspunten uit het (157 pagina’s (incl. bijlage) tellende!) onderzoeksrapport aan de slag te gaan:

1. Bepaal of het aanstellen van een FG voor uw organisatie verplicht is.
2. Zoekt u een nieuwe FG? Stel o.a. eisen op het gebied van deskundige kennis over privacywet- en regelgeving, nieuwe (Europese) wetgeving en de praktische toepassing hiervan.
3. Stel in gezamenlijk overleg vast of de FG voldoende tijd en menselijke en financiële middelen heeft om zijn taken uit te voeren en qua kennis up-to-date te blijven.
4. Let op met tegenstrijdige belangen:
   • Als de FG ook een managementrol heeft, zorg dan dat deze geen besluiten neemt over de omgang met persoonsgegevens;
   • Geef de FG geen taken die tegenstrijdig zijn met zijn rol (zoals het uitonderhandelen van contracten, het nemen van verantwoordelijkheid voor de rechtmatigheid van de omgang met persoonsgegevens, het behandelen van privacy verzoeken, het uitvoeren van DPIA’s en het opstellen van processen en nemen van besluiten over de omgang met persoonsgegevens).
5. Leg schriftelijk vast welke taken en verantwoordelijkheden een FG heeft (bijvoorbeeld in privacy beleid), wanneer de FG betrokken moet worden (o.a. in processen), promoot de rol intern (bijvoorbeeld via awareness activiteiten) en leg de onderlinge verantwoordelijkheidsverdeling en samenwerking tussen de FG en de organisatie vast in een ‘engagement letter’.
6. Volg adviezen van de FG op. Mochten adviezen niet worden opgevolgd, leg de redenen hiertoe dan schriftelijk vast.
7. Geef de FG een eigen budget dat naar eigen inzicht kan worden ingezet om zo zijn taken vrij en onafhankelijk te kunnen (laten) uitvoeren.
8. Laat de FG in ieder geval periodiek rapporteren aan de hoogste managementlaag en vraag de FG om jaarlijks een schriftelijk verslag uit de brengen over de naleving van de organisatie

Mocht u nog vragen hebben over de invulling van de FG-rol of ondersteuning hierbij nodig hebben, dan kan u contact opnemen met Michelle Wijnant, advocaat IT, Privacy & Cybersecurity.

Wil je elke maand een overzicht van updates en blogs in je mailbox? Klik dan hier om je in te schrijven voor de nieuwsbrief!