BLOG: Wat is een coördinerend Functionaris Gegevensbescherming en wat zijn de uitdagingen en voordelen?
dinsdag 04 maart 2025
Samenwerkingsverbanden die structureel persoonsgegevens delen, zoals Zorg- en Veiligheidshuizen en Regionale Informatie- en Expertise Centra (RIEC’s), hebben te maken me de Wet gegevensverwerking door samenwerkingsverbanden (WGS). De wet verplicht onder andere de aanstelling van een “coördinerend Functionaris Gegevensbescherming”. Wat houdt deze functie precies in, en wat zijn de aandachtspunten en voordelen voor de samenwerkende partijen? Whitney Naomi van den Brand van L2P geeft uitleg.
De Wet gegevensverwerking door samenwerkingsverbanden (WGS), die op 1 maart 2025 in werking is getreden, geeft een kader voor de verwerking en uitwisseling van persoonsgegevens binnen samenwerkingsverbanden. De wet stelt regels aan de taak, inrichting en werkwijze van samenwerkingen zoals Zorg- en Veiligheidshuizen en Regionale Informatie- en Expertise Centra (RIEC’s). De WGS verplicht de samenwerkende partijen - zoals gemeenten, politie en openbaar ministerie - onder andere om een coördinerend Functionaris Gegevensbescherming (FG) aan te stellen.
De coördinerend FG is een nieuwe positie, die erop is gericht om de bescherming van persoonsgegevens te stroomlijnen en om de rechtmatigheid van gegevensverwerkingen binnen samenwerkingen te waarborgen. De aanstelling van een centrale FG voorkomt onduidelijkheden over wie verantwoordelijk is voor het interne privacytoezicht in een samenwerkingsverband, en zorgt voor een eenduidige aanpak van dataprotectie.
De coördinerend FG is verantwoordelijk voor de afstemming tussen de FG’s van de deelnemers aan de samenwerking. Daarnaast houdt de coördinerend FG toezicht op de naleving van privacyregels door het samenwerkingsverband. Wat betekent dit in de dagelijkse praktijk?
De FG versus de coördinerend FG
Artikel 1.4 lid 2 van de WGS bepaalt dat één van de FG’s van de deelnemende overheidsinstanties in een samenwerkingsverband een coördinerend FG aanwijst. In veel gevallen zal de FG van een (grote) gemeente deze functie op zich nemen, in aanvulling op de positie als FG van de eigen organisatie.
Volgens de Memorie van Toelichting heeft de coördinerend FG dezelfde taken als de FG onder artikel 39 van de Algemene verordening gegevensbescherming (AVG). Net zoals de FG's van de deelnemers is ook de coördinerend FG onafhankelijk. De coördinerend FG bezit overigens geen hiërarchische autoriteit over de FG’s van de deelnemende partijen.
Belangrijke taken van de coördinerend FG zijn:
· Faciliteren van een gestructureerde samenwerking en consensusvorming tussen de deelnemende FG’s over
privacyvraagstukken en -compliance.
· Afstemmen en monitoren van een eenduidige toepassing van maatregelen voor de bescherming van
persoonsgegevens en privacy binnen het samenwerkingsverband.
· Optreden als centraal aanspreekpunt van het samenwerkingsverband voor de Autoriteit Persoonsgegevens (AP) en
voor de FG’s van de deelnemende instanties. De FG’s van de deelnemers zijn het eerste aanspreekpunt voor de
eigen organisatie. De coördinerend FG is ook de contactpersoon voor betrokkenen die klachten indienen over de
verwerking van persoonsgegevens binnen het samenwerkingsverband.
· Nagaan of gegevensverwerkingen binnen het samenwerkingsverband voldoen aan de wet- en regelgeving, zoals de
AVG en WGS.
· Initiëren, voorbereiden en begeleiden van interne en externe audits om de effectiviteit van maatregelen voor de
bescherming van persoonsgegeven te evalueren. Volgens artikel 1.18 van de WGS is het samenwerkingsverband
verplicht om elke vier jaar een privacy-audit uit te voeren om de naleving van de WGS te beoordelen. De eerste
audit vindt uiterlijk plaats twee jaar na de inwerkingtreding van de WGS, dus in maart 2027. Deze audit is bedoeld
om de opzet en de resultaten van de maatregelen en procedures te toetsen, die binnen het samenwerkingsverband
zijn genomen om naleving van de WGS te waarborgen. De audit moet worden uitgevoerd door een onafhankelijke
auditor met expertise in de bescherming van persoonsgegevens en de werking van samenwerkingsverbanden. De
coördinerend FG en de rechtmatigheidsadviescommissie ontvangen de auditresultaten.
Rechtmatigheidsadviescommissie en contactpunt
Naast de coördinerend FG introduceert de WGS ook twee andere organen:
de rechtmatigheidsadviescommissie en het contactpunt.
Rechtmatigheidsadviescommissie
De rechtmatigheidsadviescommissie is (op grond van artikel 1.13 van de WGS) een onafhankelijk adviesorgaan dat binnen een samenwerkingsverband toezicht houdt op de bescherming van persoonsgegevens. De leden zijn afkomstig uit de deelnemende organisaties en/of externe experts.
De commissie adviseert het samenwerkingsverband over de rechtmatigheid van gegevensverwerkingen en over privacyrisico’s. De commissie let bijvoorbeeld op nieuwe initiatieven van het samenwerkingsverband om persoonsgegevens te verwerken.
Contactpunt
Een samenwerkingsverband is verplicht om een contactpunt aan te wijzen (zoals is beschreven in artikel 26, lid 1 van de AVG). Het contactpunt stelt betrokkenen in staat om AVG-rechten uit te oefenen, en regelt de informatieplicht van de AVG. Het contactpunt publiceert bijvoorbeeld de privacyverklaring op de website van het samenwerkingsverband. Daarnaast coördineert het contactpunt de meldingen van datalekken.
Het contactpunt is vooral belangrijk omdat in een samenwerkingsverband sprake is van een gezamenlijke verwerkingsverantwoordelijkheid. Door onderling afspraken te maken over de afhandeling van verzoeken en klachten van betrokkenen, voorkomt het samenwerkingsverband dat burgers verschillende deelnemende instanties moeten aanschrijven om AVG-rechten uit te oefenen. Daarnaast vermindert een centraal loket voor datalekken het risico dat een melding aan betrokkenen en de AP te laat gebeurt (dat wil zeggen na 72 uur na het incident).
De meerwaarde van een coördinerend FG
De coördinerend FG vervult een cruciale rol in de samenwerkingsverbanden waarop de WGS betrekking heeft. De coördinerend FG fungeert als intermediair tussen de FG’s van de deelnemende partijen, en zorgt voor een eenduidige omgang met persoonsgegevens.
De concrete voordelen van de coördinerend FG voor het samenwerkingsverband zijn onder meer:
· Efficiëntere naleving van de wet- en regelgeving over privacy. De coördinerend FG opereert als een centraal
expertisepunt en voorkomt dat de FG’s van de deelnemers aan het samenwerkingsverband tegenstrijdige
beslissingen nemen.
· Verbeterde governance. De coördinerend FG ontwikkelt een gestructureerde werkwijze voor de omgang met
privacykwesties binnen het samenwerkingsverband, wat (juridische) risico’s vermindert.
· Duidelijke rapportage en verantwoording. De coördinerend FG controleert de privacy-audits en stelt
verbetermaatregelen voor. De rapportages leggen de basis voor transparantie over de gegevensverwerkingen door
het samenwerkingsverband.
Meer coördinatie, betere compliance
De WGS is momenteel van toepassing op Zorg- en Veiligheidshuizen, RIEC’s, het Financieel Expertisecentrum (FEC) en de Infobox Crimineel en Onverklaarbaar Vermogen (iCOV). Het is mogelijk dat in een Algemene Maatregel van Bestuur ook andere structurele samenwerkingen worden aangewezen als een samenwerkingsverband in de zin van de WGS. Bijvoorbeeld samenwerkingsverbanden die zich bezighouden met de preventie en bestrijding van ernstige vormen van criminaliteit.
Daarnaast is de verplichte aanstelling van een coördinerend FG opgenomen in het wetsvoorstel voor de Wet gegevensverwerking persoonsgerichte aanpak radicalisering en terroristische activiteiten (Wet PARTA).
Het is dus goed mogelijk dat steeds meer overheidsorganisaties in Nederland straks te maken hebben met een coördinerend FG.
Wat zijn de uitdagingen om dan rekening mee te houden?
· In veel gevallen komt de functie van coördinerend FG bovenop de toch al volle agenda van een (gemeentelijke) FG.
· Een ander aandachtspunt zijn de mogelijke belangenconflicten tussen de verwerkingsverantwoordelijkheid voor het
samenwerkingsverband en de eigen organisatie. Een FG die ook coördinerend FG is, heeft een scherp oog nodig
om de verschillende invalshoeken steeds te onderscheiden.
Als de positie goed wordt ingevuld, dan draagt de coördinerend FG bij aan een efficiënte, transparante en rechtmatige verwerking van persoonsgegevens binnen een samenwerkingsverband. De combinatie van de aanstelling van een coördinerend FG met de uitvoering van onafhankelijke privacy-audits en het toezicht door de rechtmatigheidsadviescommissie is daarbij de succesfactor. De drie vormen van toezicht geven immers een robuuste basis voor gegevensverwerkingen die recht doen aan de verschillende aspecten van een samenwerkingsverband - van het maatschappelijke belang tot het recht op bescherming van de persoonlijke levenssfeer van de betrokkenen.