BLOG: Welke verantwoordelijkheden heeft een organisatie bij de aanstelling van een FG?
maandag 12 juni 2023
De FG geeft advies over en houdt toezicht op de naleving van de AVG, maar het is de verwerkingsverantwoordelijke of de verwerker die verantwoordelijk is voor de naleving van verplichtingen op grond van de AVG. De FG is dus uitdrukkelijk niet medeverantwoordelijk voor beslissingen van de verwerkingsverantwoordelijke. In deze blog gaan we nader in op de verantwoordelijkheden van een organisatie in relatie tot de aanstelling van een FG.
Op de verwerkingsverantwoordelijke rusten de volgende verplichtingen met betrekking tot de positie en taken van de FG:
- Bekend maken contactgegevens[1]
- Betrekken FG bij alle privacy aangelegenheden[2]
- Toegang verschaffen en benodigde middelen ter beschikking stellen[3]
- Autonomie en onafhankelijkheid FG waarborgen[4]
Bekend maken contactgegevens.
De eerste verplichting voor de verwerkingsverantwoordelijke is om de contactgegevens van de FG bekend te maken aan de Autoriteit Persoonsgegevens en de betrokkenen. Dat de FG niet verantwoordelijk is voor naleving van de AVG komt hier goed naar voren, de verantwoordelijkheid voor AVG-compliance ligt bij de organisatie zelf.
Betrekken FG bij alle privacy aangelegenheden.
De FG moet naar behoren en tijdig worden betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens. Het is belangrijk dat de FG in een vroeg stadium wordt betrokken en wordt gezien als een gesprekspartner binnen de interne organisatie. Om dit te realiseren dient de organisatie ervoor te zorgen dat: de FG regelmatig wordt uitgenodigd om vergaderingen van het hoogste bestuur en het middenkader bij te wonen, de FG actief wordt betrokken bij beslissingen die gevolgen hebben voor gegevensbescherming en de FG tijdig van alle relevante informatie wordt voorzien. Daarnaast is het belangrijk dat de mening van de FG ook daadwerkelijk in overweging wordt genomen en het niet opvolgen van zijn advies wordt gedocumenteerd. Verder dient het standaardpraktijk te zijn dat de FG meteen wordt geconsulteerd in geval van een (hoog risico) datalek of ander incident met een hoog risico.
Toegang verschaffen en benodigde middelen ter beschikking stellen.
De verwerkingsverantwoordelijke moet de FG toegang verschaffen tot persoonsgegevens en verwerkingsactiviteiten en hem de benodigde middelen ter beschikking stellen. Het hoogste bestuur binnen de organisatie dient de FG actief in zijn functie te ondersteunen, zonder echter invloed uit te oefenen op zijn werkzaamheden. De FG moet voldoende tijd tot zijn beschikking hebben om zijn taken te vervullen en adequate ondersteuning krijgen wat betreft financiële middelen, infrastructuur en personeel. De FG dient toegang te hebben tot andere diensten binnen de organisatie, zoals HR, juridische dienst, IT en beveiliging om de benodigde essentiële informatie, ondersteuning of bijstand van deze diensten te ontvangen. De verwerkingsverantwoordelijke moet de FG daarnaast een opleidingsbudget bieden voor zijn professionele ontwikkeling. Afhankelijk van de grootte van de organisatie kan het verder nodig zijn om een team rond de FG samen te stellen
Autonomie en onafhankelijkheid FG waarborgen.
Deze verplichting houdt in dat aan de FG geen instructies mogen worden geven met betrekking tot de manier waarop hij zijn taken uitvoert. De FG mag naast zijn FG-rol geen andere taken of plichten vervullen die leiden tot een belangenconflict. Dat betekent dat de FG geen functie mag hebben waarbij hij het doel en de middelen van een gegevensverwerking bepaalt. De FG mag bijvoorbeeld geen verantwoordelijkheid dragen voor (privacy) compliance, zoals het geval is bij de rol van Privacy Officer (PO), of beslissen over de aanschaf van IT-systemen. In het algemeen kan worden gezegd dat functies in het hogere management, zoals hoofd financiën, strategie, marketing, IT, personeelszaken of Chief Information Security Officer (CISO), niet compatibel zijn. Verder moet de autonomie en onafhankelijkheid van de FG worden gewaarborgd door zijn positionering binnen de organisatie, bijvoorbeeld een staffunctie onder het hoogste bestuurlijke gezag. Daarnaast heeft een FG dezelfde ontslagbescherming als leden van de ondernemingsraad en mogen aan de FG geen sancties worden opgelegd als gevolg van het vervullen van zijn verplichtingen als FG.
Gosse Bijlenga
Partner L2P