Inloggen Geen profiel? Registreer hier.

'Gegevensbeschermer moet eigen vlees niet keuren'

14/03/2017

Gemeenten zijn verplicht om een Functionaris Gegevensbescherming (FG) aan te stellen. KING heeft vorige week een handreiking gepubliceerd voor de rol en de taken van zo'n functionaris. In de handreiking staan antwoorden op diverse vragen van gemeenten over dit onderwerp. Er zijn risico's verbonden aan het combineren van diverse rollen, zo waarschuwt KING.

Spagaat tussen controle en uitvoeren

In de handreiking wordt ingegaan op de positionering van een FG. De onafhankelijkheid van de FG moet gewaarborgd zijn, zo schrijft KING. Een FG krijgt daarom geen instructies van de gemeente en verwerkers, wel moet er worden gerapporteerd aan het college van B&W over de werkzaamheden. Overleg met de Autoriteit Persoonsgegevens is ook een optie, maar een meldingsplicht bij onregelmatigheden is er niet. KING waarschuwt voor een 'spagaat' tussen veel uitvoerende taken voor een FG en het controleren van werkzaamheden binnen de gemeente. Het kan betekenen dat de FG min of meer zijn eigen werkzaamheden moet controleren. 'Een dergelijke spagaat zou de geloofwaardigheid en betrouwbaarheid van de functie niet ten goede komen.'

Verschillende rollen combineren soms lastig

KING waarschuwt ook voor voldoende scheiding tussen de functies die in samenhang zijn, zoals de Chief Information Security Officer (CISO) en de Privacy Officer (PO). Het kan namelijk zo zijn dat de FG een rol is van een functionaris die ook andere werkzaamheden verricht binnen een gemeente. Volgens KING kan het bijvoorbeeld lastig zijn voor een gecombineerde FG/CISO functie om intern toezicht uit te kunnen oefenen op toepassingen die door de CISCO zijn uitgewerkt. Ook een gedeelde functie van PO en FG kent risico's: het resultaat is dat een functionaris die beide rollen vervuld vaak niet genoeg tijd heeft om de beoogde wettelijke rol van toezichthouders op te pakken en controles uit te voeren, zoals een PO vaak functioneert. Door de dagelijkse werkdruk zou een FG/PO dan bijna volledig bezig zijn met het geven van voorlichting en het adviseren bij privacyvraagstukken op casusniveau.