Een van de gevolgen van de AVG voor overheden is een verplichte aanstelling van een functionaris voor de gegevensbescherming. Maar of een dergelijke FG nou ook echt waarde heeft?
Wat wordt en is er al veel geschreven over de Algemene Verordening Gegevensbescherming (AVG), de nieuwe Europese privacyrichtlijn die op 25 mei 2018 (een ‘magische’ datum) van kracht wordt en er onder meer voor zorgt dat de Wet bescherming persoonsgegevens vanaf die datum niet meer geldt.
Gemeenten hebben twee jaar de tijd gehad om zich voor te bereiden op de AVG. Diverse stappenplannen en instrumenten zijn voorhanden om gemeenten hierin op weg te helpen. Zo heeft de Autoriteit Persoonsgegevens (AP) een stappenplan ontwikkeld en heeft KING instrumenten ter beschikking gesteld voor implementatie.
Functionaris voor de gegevensbescherming
Ik ga niet alle geschreven artikelen en blogs in deze bijdrage overdoen. Ik zoom enkel in op de verplichte aanstelling voor overheidsinstanties en publieke organisatiesvan een functionaris voor de gegevensbescherming (FG); de zesde (van de tien) stap uit het stappenplan van de AP. Gemeenten zijn verplicht tot het aanstellen van een FG. Ook over de rol, inhoud en positionering van die FG is al veel geschreven.
Een FG heeft een toezichthoudende rol en controleert of de AVG wordt nageleefd. De FG moet onafhankelijk toezicht houden en mag daarom geen instructies ontvangen en zich niet bezighouden met de implementatie van maatregelen. De FG is geen toezichthouder (dat is de Autoriteit Persoonsgegevens), maar dient wel controlebevoegdheden te hebben.
FG: weg ermee!
Het feit dat een FG verplicht is en dat de FG een toezichthoudende rol heeft, stoort mij. Het hebben van een FG zegt namelijk niets over het privacyniveau binnen de organisatie zelf. Het enkel hebben van een FG zegt ook niets over de kwaliteit van de FG zelf. Er komen tal van vacatures voorbij waarbij gemeenten op zoek zijn naar een FG, waarvan er in de markt overigens maar weinig beschikbaar zijn. Ook heb ik de meest vreemde constructies voorbij zien komen. Het in de mik van iemand schuiven is trouwens een prima oplossing die ook volstaat. Daarmee is één van de tien voorbereidingsstappen snel gemaakt. Belangrijk vind ik niet dat er een FG is, maar dat de organisatie actief bezig is met het onderwerp privacy.
Een verplichte FG draagt daar niet per definitie aan bij, zeker niet als de markt voor een goede FG erg krap is. Dat de FG een toezichthoudende rol heeft, heb ik ook nooit begrepen. De rol van de AP kan ik nog begrijpen, die van een FG niet. Een FG die toezicht houdt op naleving van de AVG is daarbij ook overbodig. Gemeenten hebben enorm veel wetten na te leven die belangrijk zijn. Daar gaan we toch ook niet allemaal verplichte toezichthoudende functionarissen voor aanstellen?
Wat mij betreft is die toezichthoudende rol weggelegd voor de gemeenteraad. Zij zijn het controlerende orgaan en daarbij zijn zij volksvertegenwoordigers. Dus de controle op informationele privacy hoort mijn inziens daar te liggen. Het college legt verantwoording af aan de gemeenteraad en de gemeenteraad controleert of de privacy is gewaarborgd.
Blaffende waakhonden
Dan nog even over de AP, de toezichthoudende autoriteit die bevoegd is boetes uit te delen als de AVG niet wordt nageleefd. Ik hoor de blaffende waakhonden bij de AP vaak. Te vaak. Dat is jammer, want wat zij als nationale toezichthouder nalaten is het goed informeren en trainen van de lokale toezichthouders (lees: gemeenteraad). In plaats dat zij naast ons staan, kiezen zij ervoor om aan de zijlijn te staan. Degene die binnenkort even niet oplet, mag het gestrekte been van achteren verwachten. De verwachting is dat daarbij een partij waarschijnlijk als voorbeeld wordt gesteld, want de AP heeft al aangegeven niet alleen te willen blijven blaffen. Ze hebben al meermaals aangegeven dat ze ook graag willen bijten.
Als het gaat om informeren en trainen van raadsleden verwachten wij als BUCH-gemeenten niets bijzonders van de AP. Wij zullen zelf na de gemeenteraadsverkiezingen de raadsleden van de BUCH-gemeenten bijpraten, want voor ons en de vier colleges en gemeenteraden is privacy een speerpunt. Daar hebben we de AP niet voor nodig. Dat kunnen wijzelf.
yourilammerts@debuch.nl is Chief Information Security Officer (CISO) voor de werkorganisatie BUCH (ambtelijke organisatie voor de gemeenten Bergen, Uitgeest, Castricum en Heiloo).
Beste Youri,
Ik begrijp je redenering, ik ben het er echter niet mee eens.
Juist op het onderdeel “privacy” wordt het tijd dat dit echt goed op de agenda van de overheid komt. De juridische wereld leeft nog in de tijd van Napoleon en dat moet snel veranderen, want de maatschappij eist dit terecht van ons. Simpele voorbeelden zijn het briefgeheim voor emailverkeer of de problematiek van platforms (Facebook, Uber en AirBnb). De private sector laat het compleet afweten op dit soort thema’s.
Het is fundamenteel nodig dat er goede “checks and balances” worden ingebouwd ter bescherming tegen onszelf (de waan van de dag). Dit kan de AP (ondanks een verdubbeling van het aantal medewerkers volgend jaar) niet doen. Primair moeten we dat zelf organiseren op het juiste niveau.
Dag Patrick,
Eens. Het onderwerp moet goed op de agenda komen. Punt van de blog is dat een FG als zodanig het niet oplost en m.i. de rol van de gemeenteraad ondermijnt (enkel op het aspect van toezichthouden). Het is een samenwerking tussen raad (als lokale toezichthouder), bestuur en ambtelijke organisatie. De FG mag zich niet bezighouden met de implementatie en daar ligt het pijnpunt. Een recent artikel over de kostenstijging (https://www.gemeente.nu/dienstverlening/ict/kosten-ict-voor-gemeenten-blijven-stijgen/) bevestigt eigenlijk dat het verplicht aanstellen van een FG niet het probleem oplost maar vergroot. Want een FG mag niet helpen in de implementatie; en daar ligt het grote en belangrijke werk. Teveel focus ligt nu op de FG. We moeten ook niet naar de AP kijken. We moeten er zelf werk van maken en er actief mee aan de slag gaan. Dat betekent dat het een samenspel is tussen verschillende lagen.
Wanneer je kijkt naar de taken van de FG dan staat daar bij dat er geadviseerd mag worden. Je kan als FG net als in de CISO rol toch niet alles zelf doen dus wanneer je als adviseur de organisatie in gaat ben je wel degelijk een meerwaarde.
Het is wel belangrijk dat een FG goed op de hoogte is en het liefst ook een opleiding heeft op het gebied van privacy, zomaar iemand aanwijzen is geen optie. Wat dat betreft gaat de vergelijking met de CISO ook weer op.
Nog maar eens voor de goede orde : de AVG ís al van kracht, al nagenoeg 1,5 jaar. Vanaf 25 mei 2018 zal de AVG gehándhaafd gaan worden.
Ook is het geen richtlijn maar een verordening.
De DPO heeft een onafhankelijke rol met diverse taken, maar de rol is voornamelijk faciliterend, regievoerend en controlerend.
Dat die rol er is gekomen is mede het gevolg van het decennia lang ontbreken van respect voor privacy.
Daarbij heeft de DPO overigens wel degelijk een ‘toezichthoudende rol’, zie verder het linkje naar de AP.
De controlerende rol van de Gemeenteraad naar het accountable College staat lós van privacywetgeving.
Gelet op het doorsnee niveau van gemeenteraadsleden en ervaringen uit het verleden sinds de WPR moet daarvan niet teveel worden verwacht.
Het ‘in de mik van iemand schuiven’ is treffend geformuleerd en zal ongetwijfeld veel zijn gehanteerd in het kader van ‘gauw klaar, snel thuis’. Dat daarmee tevens een compliance-risico is gecreëerd is iets waar de AP t.z.t. wel over zal vallen.
Overigens heeft het voor de hand liggend – maar ontoelaatbaar – combineren van CISO– en DPO-rol in Duitsland al tot een boete geleid.