De rol van een functionaris gegevensbescherming (FG) is essentieel voor de bescherming van de persoonsgegevens die een organisatie verwerkt. De Autoriteit Persoonsgegevens (AP) hoort regelmatig dat FG’s niet of te laat betrokken worden bij plannen waarbij gegevens worden verwerkt, niet de juiste stukken ontvangen of onvoldoende tijd krijgen om te kunnen doen wat er van ze wordt verwacht. Daarom publiceert de nu uitgangspunten voor de positionering van de FG.
De wet verbindt duidelijke eisen aan de positionering van een FG. Zo is het essentieel dat de FG onafhankelijk kan toezien op de naleving van de AVG in de organisatie. De AP heeft concrete uitgangspunten opgesteld over onder meer de informatiepositie van de FG, de middelen die de FG nodig heeft en de toegang van de FG tot het bestuur van de organisatie.
Enkele uitgangspunten:
- De organisatie moet de FG in een vroeg stadium betrekken bij de (door)ontwikkeling van producten en diensten. En vastleggen wat er met de adviezen van de FG gebeurt.
- De FG moet goed zichtbaar zijn binnen de organisatie en direct, zonder tussenkomst van anderen, benaderbaar en aanspreekbaar zijn. Ook voor personen van buiten de organisatie.
- De FG grijpt in als het (mogelijk) fout gaat en hij/zij risico’s signaleert bij (voorgenomen) verwerkingen. De FG spreekt de organisatie hierop aan en moet op het hoogste bestuurlijke niveau zorgen kunnen uiten. De organisatie moet dat faciliteren.
- De organisatie moet de onafhankelijke positie van de FG waarborgen.
- De FG neemt een centrale positie in bij contacten tussen de AP en de organisatie. In die positie moet de FG op de hoogte zijn van de communicatie van de AP met de organisatie. Maar… de FG heeft een onafhankelijke positie en kan dus niet namens de organisatie spreken.