De FG en het datalek: betrokken bij alles, uitvoerder van niets
dinsdag 30 juni 2026
Twintig meldingen per week. Eén FG.
Het UWV meldde in 2024 in totaal 1833 datalekken bij de Autoriteit Persoonsgegevens, bijna twintig per week.¹ Het ging in de meeste gevallen om relatief eenvoudige incidenten, brieven naar het verkeerde adres, verkeerde bijlagen, persoonsgegevens naar de verkeerde persoon. Maar ook om ernstigere gevallen, waaronder een incident waarbij het inzien van 150.000 cv’s via één werkgeversaccount op de website werk.nl van het UWV.
Artikel 38, lid 1, schrijft voor dat functionaris voor gegevensbescherming (FG) naar behoren en tijdig wordt betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens. Bij bijna duizend datalekken per jaar, elk met een eigen beoordeling, context en afhandeling. Roept dat één centrale vraag op: Hoe zorg je er in de praktijk voor dat de FG naar behoren en tijdig betrokken is? Of wordt de soep niet nooit zo heet gegeten, als zij wordt opgediend?
Organisaties zoeken oplossingen, maar niet altijd op de juiste manier en met consequenties die groter zijn dan de meeste bestuurders beseffen.
Wanneer is de FG naar behoren betrokken?
De vraag begint niet bij de organisatie. Het begint in de wet zelf.
Artikel 38, lid 1, AVG vereist dat de FG naar behoren en tijdig wordt betrokken bij alle privacy gerelateerde aangelegenheden.² Dat is dus inclusief datalekken. Artikel 38, lid 2, AVG versterkt dit, de verwerkingsverantwoordelijke en de verwerker zijn verplicht de FG actief te ondersteunen bij het uitvoeren van zijn taken en hem de benodigde middelen en toegang te verstrekken.³ Samen vormen deze bepalingen een dubbele verplichting, betrek de FG, én zorg dat hij zijn werk kan doen.
Maar wat betekent ‘naar behoren en tijdig’ concreet? De Artikel 29-Werkgroep verduidelijkt in een richtsnoer dat de FG vanaf het vroegst mogelijk stadium betrokken moet worden bij alle aangelegenheden die de bescherming van persoonsgegevens raken. Niet achteraf als informatieverstrekking, maar voorafgaand aan beslissingen die de bescherming van persoonsgegevens raken.4 Vertaald naar datalekken betekent dit dat de FG betrokken moet zijn vóór de classificatiebeslissing, niet erna.
De vraag is hoe letterlijk we die norm moeten interpreteren. De AVG stelt een norm, maar zwijgt over de schaal waarop die norm in de praktijk moet worden nageleefd. Een letterlijke lezing van Artikel 38, lid 1, AVG zou betekenen dat de FG bij elk signaal, elk twijfelgeval en elke classificatiebeslissing persoonlijk en direct aanschuift. Dat is geen werkbare positie en leidt tot een FG die zo operationeel belast raakt dat hij zijn wettelijke toezicht rol niet meer kan vervullen.
De Artikel 29-Werkgroep biedt hier een praktische uitweg. Waar van toepassing kunnen de verwerkingsverantwoordelijke of de verwerker richtlijnen of programma’s inzake gegevensbescherming uitwerken, waarin wordt vastgelegd wanneer de FG moet worden geconsulteerd.5 Dit is geen vrijbrief om de FG op afstand te houden, het is een expliciete erkenning dat gestructureerde betrokkenheid werkbaar is, mits de FG betrokken is bij het bepalen van de kaders.
De richtsnoeren bieden dus de ruimte voor een gelaagd model. De vraag is niet óf dat mag, maar hoe je het zo inricht dat de FG zijn wettelijke positie behoudt. En precies daar gaat het in de praktijk structureel mis.
Hoe organisaties het nu oplossen, en waarom dat misgaat.
Organisaties die de werkdruk op de FG willen verlagen, kiezen vaak voor een schijnbaar logische oplossing: de FG later in het proces betrekken. Niet bij de eerste melding, maar pas als het zeker een datalek is. Niet bij elke vraag, maar alleen bij de complexe gevallen. De FG blijft op de hoogte, maar via een samenvatting achteraf.
Dit is precies wat de Belgische Gegevensbeschermingsautoriteit beoordeelde in een handhavingszaak over een datalek. De betrokken organisatie had een RACI-matrix opgesteld voor haar incidentproces, netjes gedocumenteerd en intern gecommuniceerd. Maar de FG stond daarin als 'informed', niet als 'consulted'.6 De toezichthouder was duidelijk: de FG was daarmee feitelijk buiten het besluitvormingsproces gehouden en daarmee niet naar behoren en tijdig betrokken volgens artikel 38, lid 1, AVG.
Het probleem zit hem niet in de kwade wil van die organisatie. Het zit in de manier waarop het dilemma wordt geframed. Wie denkt: 'de FG heeft het te druk of de FG kost ons geld, dus betrekken we de FG minder’ creëert een compliance-risico. De vraag is niet hoeveel de FG doet, maar wanneer en hoe hij betrokken is.
Betrokken bij alles. Uitvoerder van niets.
De oplossing ligt dus niet in minder betrokkenheid, maar in een scherper beleid waarbij er duidelijke afspraken en onderscheid worden gemaakt tussen de betrokkenheid en uitvoering bij het signaleren, melden en oplossen van datalekken.
Een werkbaar model rust op vier pijlers:
- De FG stelt de kaders. Niet de IT-afdeling, niet de jurist, niet de manager die toevallig van het incident weet, maar de FG zelf bepaalt wanneer zij betrokken moet worden. De FG ontwikkelt vooraf, in samenspraak met de organisatie, concrete criteria voor wanneer de FG betrokken moet worden bij een datalek. De kaders zijn helder, niet voor meerdere uitleg vatbaar.
- De eerste lijn handelt duidelijke gevallen af. Incidenten die exact binnen de vastgestelde kaders vallen, kunnen worden opgepakt en na afhandeling gemeld zonder dat de FG van tevoren aanschuift. De FG is geraadpleegd en heeft dit proces en de kaders ontworpen, dat is zijn betrokkenheid.
- Twijfel escaleert altijd. Elk incident dat niet exact binnen de kaders past, gaat direct naar de FG voor advies, waarna de organisatie zelf afhandeling doet en dit weer terugkoppelt naar de FG. De drempel is bewust laag, twijfel is genoeg.
- De FG houdt zicht via volledige registratie. De FG moet onbeperkt toegang hebben tot alle relevante informatie. Daarbij volstaat het niet om uitsluitend de erkende datalekken bij te houden: élke melding moet worden geregistreerd. Het datalekkenregister legt de erkende datalekken vast, een breder incidentregister borgt dat ook de afgewezen meldingen traceerbaar blijven. Zo toetst de FG niet alleen de afhandeling, maar ook de beoordeling die daaraan voorafging.
Een belangrijke kanttekening geldt voor datalekken met een hoog risico. Bij dergelijke datalekken is directe betrokkenheid van de FG geen keuze maar een wettelijke noodzaak. Artikel 34 AVG verplicht de verwerkingsverantwoordelijke om bij een hoog risico datalek de betrokkenen te informeren, er schrijft voor dat daarbij de naam en contactgegevens van de FG worden vermeld.7 De FG kan die rol alleen waarmaken als hij op het moment van de melding volledig op de hoogte is en actief betrokken is geweest en blijft.
Dit model maakt de FG niet per se minder betrokken. Het maakt zijn betrokkenheid effectiever en gerichter op de gevallen waar zijn expertise het hardst nodig is.
Geen enkel model is waterdicht en dat lukt ook niet.
Ook dit model kent begrenzingen. Een medewerker die twijfelt maar toch niet escaleert. Een incident dat net buiten de kaders valt en niet als datalek wordt aangemerkt. Die risico's zijn reëel en eerlijk gezegd onvermijdelijk.
Maar toezichthouders beoordelen niet of een organisatie foutloos opereert. Ze beoordelen of een organisatie aantoonbaar passende maatregelen heeft getroffen en een lerend systeem heeft ingericht.8 Een FG, die via zijn jaarlijkse rapportage de niet-gemelde incidenten bekijkt, patronen in misclassificatie signaleert en de kaders op basis daarvan bijstelt, voldoet aan dat criterium. Niet omdat het systeem perfect is, maar omdat het systeem zichtbaar werkt aan verbetering en constant in ontwikkeling is.
De FG als architect, niet als brandweerman.
De AVG vraagt niet om een FG die overal tegelijk is. Ze vraagt om een FG die overal invloed heeft. Dat wezenlijke verschil is precies het verschil tussen een FG die zijn onafhankelijkheid behoudt en een FG die verzandt in zijn operationele taken.
Organisaties, die hun FG meenemen in het opstellen van beleid rondom datalekken in plaats van als uitvoerder ervan, betrekken de FG naar behoren en tijdelijk zonder de FG operationeel te belasten. Ze voldoen aan de letter én de geest van de verordening. Ze maken de FG niet kleiner, ze maken hem effectiever.
Bijlagen.
De richtsnoeren bieden dus de ruimte voor een gelaagd model. De vraag is niet óf dat mag, maar hoe je het zo inricht dat de FG zijn wettelijke positie behoudt. En precies daar gaat het in de praktijk structureel mis.
Hoe organisaties het nu oplossen, en waarom dat misgaat.
Organisaties die de werkdruk op de FG willen verlagen, kiezen vaak voor een schijnbaar logische oplossing: de FG later in het proces betrekken. Niet bij de eerste melding, maar pas als het zeker een datalek is. Niet bij elke vraag, maar alleen bij de complexe gevallen. De FG blijft op de hoogte, maar via een samenvatting achteraf.
Dit is precies wat de Belgische Gegevensbeschermingsautoriteit beoordeelde in een handhavingszaak over een datalek. De betrokken organisatie had een RACI-matrix opgesteld voor haar incidentproces, netjes gedocumenteerd en intern gecommuniceerd. Maar de FG stond daarin als 'informed', niet als 'consulted'.6 De toezichthouder was duidelijk: de FG was daarmee feitelijk buiten het besluitvormingsproces gehouden en daarmee niet naar behoren en tijdig betrokken volgens artikel 38, lid 1, AVG.
Het probleem zit hem niet in de kwade wil van die organisatie. Het zit in de manier waarop het dilemma wordt geframed. Wie denkt: 'de FG heeft het te druk of de FG kost ons geld, dus betrekken we de FG minder’ creëert een compliance-risico. De vraag is niet hoeveel de FG doet, maar wanneer en hoe hij betrokken is.
Betrokken bij alles. Uitvoerder van niets.
De oplossing ligt dus niet in minder betrokkenheid, maar in een scherper beleid waarbij er duidelijke afspraken en onderscheid worden gemaakt tussen de betrokkenheid en uitvoering bij het signaleren, melden en oplossen van datalekken.
Een werkbaar model rust op vier pijlers:
- De FG stelt de kaders. Niet de IT-afdeling, niet de jurist, niet de manager die toevallig van het incident weet, maar de FG zelf bepaalt wanneer zij betrokken moet worden. De FG ontwikkelt vooraf, in samenspraak met de organisatie, concrete criteria voor wanneer de FG betrokken moet worden bij een datalek. De kaders zijn helder, niet voor meerdere uitleg vatbaar.
- De eerste lijn handelt duidelijke gevallen af. Incidenten die exact binnen de vastgestelde kaders vallen, kunnen worden opgepakt en na afhandeling gemeld zonder dat de FG van tevoren aanschuift. De FG is geraadpleegd en heeft dit proces en de kaders ontworpen, dat is zijn betrokkenheid.
- Twijfel escaleert altijd. Elk incident dat niet exact binnen de kaders past, gaat direct naar de FG voor advies, waarna de organisatie zelf afhandeling doet en dit weer terugkoppelt naar de FG. De drempel is bewust laag, twijfel is genoeg.
- De FG houdt zicht via volledige registratie. De FG moet onbeperkt toegang hebben tot alle relevante informatie. Daarbij volstaat het niet om uitsluitend de erkende datalekken bij te houden: élke melding moet worden geregistreerd. Het datalekkenregister legt de erkende datalekken vast, een breder incidentregister borgt dat ook de afgewezen meldingen traceerbaar blijven. Zo toetst de FG niet alleen de afhandeling, maar ook de beoordeling die daaraan voorafging.
Een belangrijke kanttekening geldt voor datalekken met een hoog risico. Bij dergelijke datalekken is directe betrokkenheid van de FG geen keuze maar een wettelijke noodzaak. Artikel 34 AVG verplicht de verwerkingsverantwoordelijke om bij een hoog risico datalek de betrokkenen te informeren, er schrijft voor dat daarbij de naam en contactgegevens van de FG worden vermeld.7 De FG kan die rol alleen waarmaken als hij op het moment van de melding volledig op de hoogte is en actief betrokken is geweest en blijft.
Dit model maakt de FG niet per se minder betrokken. Het maakt zijn betrokkenheid effectiever en gerichter op de gevallen waar zijn expertise het hardst nodig is.
Geen enkel model is waterdicht en dat lukt ook niet.
Ook dit model kent begrenzingen. Een medewerker die twijfelt maar toch niet escaleert. Een incident dat net buiten de kaders valt en niet als datalek wordt aangemerkt. Die risico's zijn reëel en eerlijk gezegd onvermijdelijk.
Maar toezichthouders beoordelen niet of een organisatie foutloos opereert. Ze beoordelen of een organisatie aantoonbaar passende maatregelen heeft getroffen en een lerend systeem heeft ingericht.8 Een FG, die via zijn jaarlijkse rapportage de niet-gemelde incidenten bekijkt, patronen in misclassificatie signaleert en de kaders op basis daarvan bijstelt, voldoet aan dat criterium. Niet omdat het systeem perfect is, maar omdat het systeem zichtbaar werkt aan verbetering en constant in ontwikkeling is.
De FG als architect, niet als brandweerman.
De AVG vraagt niet om een FG die overal tegelijk is. Ze vraagt om een FG die overal invloed heeft. Dat wezenlijke verschil is precies het verschil tussen een FG die zijn onafhankelijkheid behoudt en een FG die verzandt in zijn operationele taken.
Organisaties, die hun FG meenemen in het opstellen van beleid rondom datalekken in plaats van als uitvoerder ervan, betrekken de FG naar behoren en tijdelijk zonder de FG operationeel te belasten. Ze voldoen aan de letter én de geest van de verordening. Ze maken de FG niet kleiner, ze maken hem effectiever.
Bijlagen.
¹UWV, Jaarverslag 2024, paragraaf 2.4 IT, informatiebeveiliging en privacy, bedrijfscontinuïteitsmanagement en gegevensverwerking, Geraadpleegd via uwv.nl.
2.Verordening (EU) 2016/679 (AVG), art. 38, lid 1.
3. Verordening (EU) 2016/679 (AVG), art. 38, lid 2.
4. Groep 29, Richtsnoeren met betrekking tot de functionarissen voor gegevensbescherming (FG's), WP243 rev.01, 5 april 2017, p. 13.
5. Groep 29, Richtsnoeren met betrekking tot de functionarissen voor gegevensbescherming (FG's), WP243 rev.01, 5 april 2017, p. 14.
6. Gegevensbeschermingsautoriteit (Geschillenkamer), Beslissing ten gronde nr. 18/2020 van 28 april 2020, randnrs. 46-47.
7. Verorderning (EU) 2016/679 (AVG), art 34
8. Europees comité voor gegevensbescherming. Richtsnoeren 01/2021 betreffende voorbeelden van kennisgevingen van inbreuken, versie2.0 2021