Den Haag | Eindhoven | Zwolle
+31 (0) 70 392 22 09
info@duthlerprofessionals.nl

Een zorgvuldig gekozen deskundige FG

Bedrijven en instellingen die (al dan niet verplicht) een FG moeten aanstellen, worden geacht een deskundige FG te benoemen. FG’s zijn er genoeg in de markt. De vraag is alleen hoe weet je als organisatie of de FG die je wilt benoemen wel aan de vereisten van de Avg voldoet, over de juiste kwaliteiten beschikt om de functie te vervullen én uiteraard een bijdrage kan leveren aan bescherming van de persoonsgegevens die in jouw organisatie worden verwerkt?

Hoe kies ik een deskundige FG uit het ruime aanbod van privacy professionals

Organisaties kunnen dit alleen op een verantwoorde wijze doen, als zij tijd en energie (willen) steken in de selectie van de juiste FG. Het aanbod is ruim, maar dat betekent niet dat iedere kandidaat kan voldoen aan de eisen die aan de deskundigheid en professionele kwaliteiten op grond van de Avg worden gesteld. Dat de organisaties aantoonbaar aan de Avg moeten voldoen, betekent dus ook dat je organisatie de FG met zorg moet kiezen.   

Welke FG is deskundig genoeg voor uw organisatie?

Het vereiste niveau van deskundigheid wordt in de Avg niet strikt gedefinieerd. Dit laat onverlet dat er wel een aantal aanknopingspunten zijn in de Avg en de overwegingen bok de Avg.

Volgens de wetgever moet de FG aangewezen worden op grond van zijn professionele kwaliteiten en deskundig zijn op het gebied van de wetgeving én de praktijk inzake gegevensbescherming. [1] Daarnaast moet hij over het vermogen beschikken om zijn taken te kunnen vervullen.[2]  

Kennisveld

Als we naar gegevensbescherming kijken, zal kennis van de Avg alleen niet voldoende zijn. Ook andere wetten bevatten bepalingen die betrekking hebben op gegevensbescherming; denk aan de Wmo, Jeugdwet, Wet Politiegegevens etc.

Dit betekent dat de FG, afhankelijk van de sector waarin hij werkzaam zal zijn, ook kennis moet hebben van aanvullende wetten. Hij zal immers moeten bepalen of bepalingen uit deze wetten aanvullende werking hebben of in de plaats komen van de Avg (substituerende werking).

Overheidsinstellingen

Voor overheidsinstellingen of -organen wordt van de FG gevraagd dat deze over gedegen kennis van de administratieve regels en procedures beschikt, die specifiek voor overheidsorganisaties gelden, zoals de Algemene wet bestuursrecht (Awb).

Nadere concretisering van de term ‘deskundig’ vinden we terug in de overwegingen van de Avg. Hierin wordt gesteld dat het niveau van deskundigheid ook bepaald wordt door zowel de gegevensverwerkingsactiviteiten van de organisatie als de bescherming die vereist is voor gegevens die door de organisatie worden verwerkt.[3]

Privacy-boekhouding

“Een privacy-boekhouding helpt bij het vaststellen van de benodigde deskundigheid”.

Beschikt uw organisatie over een privacy-boekhouding, dan heeft u een voordeel!

De privacy-boekhouding geeft namelijk inzicht in de verwerkingen en in de gegevens. Aan de hand hiervan kan de organisatie het benodigde niveau van deskundigheid vaststellen, waarover de potentiële FG dient te beschikken.  

Aanvullende aanknopingspunten voor het vaststellen van deskundigheid

Ondanks de abstracte omschrijving van het begrip ‘deskundig’ treffen organisaties in de Richtlijnen FG, opgesteld door de Europese toezichthouders, aanvullende informatie aan die gebruikt kan worden om het benodigde niveau van deskundigheid te bepalen.[4]  

Richtlijnen FG

De Richtlijnen stellen, dat bij het vaststellen van het vereiste niveau van deskundigheid ook gekeken moet worden naar de gevoeligheid en de complexiteit van de gegevens en de hoeveelheid gegevens die de organisatie verwerkt. Dit betekent dat voor bijzonder complexe dataverwerking of voor verwerking van een groot aantal gevoelige gegevens er een hoger niveau van deskundigheid van de FG wordt vereist. Andere elementen die een rol kunnen spelen bij het bepalen van het vereiste niveau van deskundigheid zijn het stelselmatig overbrengen van persoonsgegevens buiten de EU of wanneer dit uitsluitend om incidentele overdrachten gaat.

Aanvullende eisen

Aanvullende eisen uit de Richtlijnen ten aanzien van de deskundigheid:

  • Expertise in nationale en Europese wetten;
  • Expertise de praktijk van gegevensbescherming;
  • Grondig inzicht in de Avg;
  • Inzicht in de uitgevoerde verwerkingen;
  • Kennis van IT en gegevensbeveiliging;
  • Kennis van de bedrijfstak en organisatie;
  • Vermogen om een cultuur van gegevensbescherming te bevorderen.

Met de Avg en de richtlijnen in de hand kan de organisatie dus wel degelijk bepalen welk niveau van deskundigheid een FG moet hebben om de functie naar behoren uit te oefenen. Dit laat onverlet dat het vereiste niveau van deskundigheid alleen vastgesteld kan worden als organisaties inzicht hebben in de verwerkingsactiviteiten en persoonsgegevens etc.

Professionele kwaliteiten van de FG 

Naast de deskundigheid moet de FG ook beschikken over professionele kwaliteiten. Volgens de Richtlijnen betekent dit dat kennis relevant is, maar dat de professionele kwaliteiten van de FG ook kennis van de bedrijfstak, de organisatie zelf alsmede inzicht in de verwerkingsactiviteiten en de behoeften van de organisatie als het gaat om gegevensbeveiliging en gegevensbescherming betreffen.

Last but not least het bijhouden van kennis! In de richtlijnen staat dat de toezichthoudende autoriteiten gepaste en regelmatige opleiding voor FG moeten stimuleren.

“Opleiding is essentieel om deskundigheid op peil te houden”

Dit lijkt een open deur. Niet alleen de toezichthouders moeten dit stimuleren, maar organisaties ook. Als organisatie bent u verantwoordelijk voor het aanstellen van een deskundige FG. Maar dit houdt uiteraard niet op na de aanstelling van de FG. Uw organisatie zal de FG de gelegenheid moeten geven op de hoogte te blijven van relevante ontwikkelingen in wetgeving en gegevensbescherming. Dit betekent niets anders dat uw organisatie de FG de mogelijkheid (én middelen) geeft regelmatige gepaste opleidingen te kunnen volgen. Hierdoor blijft de organisatie voldoen aan het vereiste van deskundigheid. 

Kies een deskundige FG met zorg

Kortom, nadat uw organisatie een inventarisatie heeft gemaakt van de verwerkingen, gegevens, wetgeving en overige vereisten, kan het benodigde niveau van deskundigheid worden vastgesteld. Komt de organisatie vervolgens in de selectiefase, dan zal onderzocht moeten worden of de beoogde kandidaat ook daadwerkelijk aan de vereisten van deskundigheid en professionele kwaliteiten kan voldoen, die specifiek binnen uw organisatie nodig zijn. Het aanstellen van een FG zonder gedegen voorbereiding en vaststelling van de vereisten en toetsing of de beoogd kandidaat aan de vereisten kan voldoen, kan ertoe leiden dat uw organisatie niet voldoet aan de vereisten die de Avg en de richtlijnen stellen.

“De FG moet dan ook met zorg worden gekozen”

Dit is niet alleen onze mening, maar wordt ook gedeeld door de Europese toezichthouders. In de Richtlijnen stellen zij het volgende: ‘de functionaris voor gegevensbescherming moet dan ook met zorg worden gekozen, met inachtneming van de problemen inzake gegevensbescherming die zich binnen de organisatie kunnen stellen’.

Meer informatie

Wilt u meer informatie of heeft u behoefte aan ondersteuning bij het aanstellen van een (externe) FG. Neem dan contact op met ons via telefoonnummer 070 – 392 22 09 of het contactformulier.


[1] Art. 37 lid 5 Avg

[2] Art. 39 Avg

[3] Overweging 97 Avg

[4] Richtlijn Functionaris voor gegevensbescherming, WP24.rev.01, 5-4-2017, opgesteld door EDPB (v.h. art. 29 werkgroep)