Op 17 januari 2024 publiceerde het Europees Comité voor Gegevensbescherming (ECGB) een rapport over een gecoördineerd onderzoek naar de rol van de Functionaris Gegevensbescherming (FG).
De 25 toezichthoudende autoriteiten uit de hele Europese Economische Ruimte (EER) namen deel aan het onderzoek, dat bestond uit een combinatie van vragenlijsten en feitenonderzoek.
Het rapport van het ECGB benadrukt het belang van FG’s voor de praktische toepassing van de Algemene Verordening Gegevensbescherming (AVG) en voor het bewaken van de rechten van de betrokkene. De bevindingen beschrijven echter ook bepaalde gebieden van uitdagingen waar FG’s mee geconfronteerd worden.
In deze blog bespreken we een aantal belangrijke uitdagingen op basis van de bevindingen uit het rapport:
- Onvoldoende middelen
- Onvoldoende gespecialiseerde kennis en opleiding
- Belangenverstrengeling en een gebrek aan onafhankelijkheid
We maken ook een nuttige vergelijking tussen interne en uitbestede FG’s en geven praktische informatie aan organisaties die een beslissing moeten nemen over de meest geschikte aanpak voor hun behoeften op het vlak van gegevensbescherming.
1. Tekort aan adequate middelen
Uit het onderzoek bleek dat een gebrek aan middelen veel FG’s voor grote uitdagingen stelt en dat dit de compliance op lange termijn in gevaar kan brengen.
Het rapport benadrukt dat er door de werkdruk, die het vermogen van één enkele persoon kan overtreffen, vaak behoefte is aan een FG-team. Er kunnen zich ook andere problemen voordoen met de workflow wanneer een FG vakantie heeft, ziek wordt of ontslag neemt.
Hoewel de AVG organisaties strikt genomen niet verplicht om een adjunct-FG aan te stellen, is compliance eenvoudiger te bereiken wanneer de FG waar nodig ondersteund wordt door een adjunct.
Belangrijke aandachtspunten voor de toewijzing van middelen:
- Afwezigheid van een adjunct-FG
- Interne FG die meerdere rollen moet combineren
- Externe FG die overbelast wordt met tal van klanten
2. Gebrek aan de noodzakelijke expertise en opleiding
In het rapport van het ECGB wordt ook gewezen op aandachtspunten met betrekking tot de graad van deskundigheid en de opleiding van de FG. Dit omvat zowel het niveau van professionele opleiding dat vereist is om de functie te kunnen bekleden als de ondersteuning die FG’s krijgen om hun leerproces voort te zetten zodra ze aangenomen zijn.
Het rapport bevestigt dat de vereiste graad van deskundigheid verschilt afhankelijk van de aard van de gegevens die verwerkt worden. Maar omdat gegevensbescherming en privacy snel evoluerende domeinen zijn, is het van belang dat FG’s voortdurend relevante nascholing volgen om hun rol te kunnen vervullen.
Belangrijkste aandachtspunten met betrekking tot de opleiding en expertise van de FG:
- Veel FG’s krijgen slechts 24 uur opleiding of minder per jaar
- Slechts 75% van de respondenten gaf aan dat gespecialiseerde kennis van de voorschriften m.b.t. gegevensbescherming een vereiste was voor de rol van FG
- Ondanks de vereiste van ‘gespecialiseerde kennis’ van de AVG, vertrouwt een aanzienlijk aantal FG’s uitsluitend op ‘ervaring’, wat mogelijk niet volstaat
3. FG’s worden geconfronteerd met belangenverstrengeling en een gebrek aan onafhankelijkheid
Belangenverstrengeling
Het Hof van Justitie van de Europese Unie (HJEU) heeft gesteld dat er sprake kan zijn van belangenverstrengeling wanneer een FG ook een rol vervult binnen een organisatie die ook inhoudt dat hij/zij beslissingen moet nemen over de verwerking van persoonsgegevens.
Een FG moet onafhankelijk en onpartijdig handelen en soms kritiek uiten op de bestaande mechanismen om ervoor te zorgen dat persoonsgegevens op een correcte en legale wijze verwerkt worden.
Dat betekent dat, als een FG ook een senior managementfunctie bekleedt, hij/zij op een tweesprong kan belanden tussen zijn verantwoordelijkheden als FG en zijn rol als senior beleidsmaker.
Belangrijkste aandachtspunten m.b.t. belangenverstrengeling:
- Slechts 45,82% van de gecontacteerde FG’s werkte fulltime en velen van hen moeten een breed scala aan bijkomende taken of rollen uitvoeren
- Sommige FG’s zijn verantwoordelijk voor tegenstrijdige taken, waardoor ze gelijktijdig moeten handelen in twee rollen
- In zeven lidstaten bevestigde meer dan 20% van de respondenten dat de FG voorbehouden is aan het hoogste managementniveau.
Gebrek aan onafhankelijkheid
De AVG benadrukt de rol van de FG als onafhankelijk adviseur. Het rapport van het ECGB benadrukt echter hoe contractuele en budgettaire structuren de onafhankelijkheid van een FG soms kunnen verstoren. Eén toezichthoudende autoriteit suggereerde dat, als een organisatie het budget van een FG beheert, ze de besluitvorming van de FG zou kunnen beperken door een vrees voor bezuinigingen.
In het rapport worden organisaties die gebruik maken van een externe FG geadviseerd om rekening te houden met de contractuele relatie om ervoor te zorgen dat deze niet, hetzij rechtstreeks of indirect, omvat dat er instructies gegeven kunnen worden over hoe de taken van de FG uitgevoerd moeten worden.
Belangrijkste aandachtspunten m.b.t. de onafhankelijkheid van de FG:
- Slechts 47% van de FG’s die beschikken over een toegekend budget beheren dit onafhankelijk
- Te veel FG’s gaven aan instructies te ontvangen over hoe ze hun rol moeten uitvoeren, wat hun onafhankelijkheid aantastte
Het volledige rapport van de ECGB, waarin alle geïdentificeerde uitdagingen van de FG beschreven staan, kun je hier lezen: Aanstelling en Positie van de Functionaris Gegevensbescherming
Samenvatting: voordelen van het outsourcen van de FG
Outsourcing biedt een strategische oplossing voor de uitdagingen die beschreven staan in het rapport van het ECGB. Een uitbestede FG-dienstverlening van hoge kwaliteit lost het probleem van expertise en voortdurende opleiding op. Met een team dat de FG ondersteunt, is er altijd een pool van gespecialiseerde kennis en middelen vrij beschikbaar. Externe FG’s kunnen ook onafhankelijk handelen, waardoor het risico op belangenverstrengeling weggenomen wordt.
Download onze infographic voor een gedetailleerd overzicht van in-house vs. uitbestede DPO’s:
