De formatie van de Functionaris Gegevensbescherming


Hoe groot is de privacyformatie van gemeenten, SSC’s en veiligheidsregio’s? Hoe doen we het ten opzichte van andere gemeenten? We voelen ons onderbezet, kunnen we dat ondersteunen met cijfers vanuit de markt?

Dit zijn vragen die wij vaak krijgen van overheidsorganisaties. Daarom besloten wij een uitvraag te doen naar de formatie Functionaris Gegevensbescherming onder 39 gemeenten, 5 veiligheidsregio’s en 5 SSC’s.

Wij nemen je aankomende tijd in drie artikelen mee in de resultaten. Dit eerste artikel gaat over de formatie van de Functionaris Gegevensbescherming (FG), het takenpakket van de FG en de knelpunten die wij zien ontstaan bij overheidsorganisaties. Later dit jaar volgt het artikel over de formatie van de privacy officer.

Formatie Functionaris Gegevensbescherming

formatie-functionaris-gegevensbescherming(1).jpg

 Tevredenheid formatie Functionaris Gegevensbescherming

 tevredenheid-100.jpg

Wat valt op uit de cijfers?

  • Kleine gemeenten (tot 60.000 inwoners) hebben de kleinste formatie en zijn tevreden met deze formatie (6.6). Mogelijk speelt het ‘delen’ van een FG hierin een rol. Meerdere kleinere gemeenten delen soms één FG. Hierdoor besteedt de FG gemiddeld per gemeente minder uren, maar brengt deze wel veel kennis mee doordat de FG verschillende gemeentes met elkaar kan vergelijken. 
  • Middelgrote gemeenten (60.000 tot 100.000 inwoners) hebben over het algemeen de grootste formatie voor de FG en zijn hier ook het meest tevreden mee (8).
  • Grote gemeenten (meer dan 100.000 inwoners) zitten qua formatie hier precies tussenin en zijn het minst tevreden over dit aantal (5.2).
  • Veiligheidsregio's en SSC's zijn qua inwoneraantal veel groter dan de gemeenten, maar hebben niet veel meer formatie FG. De formatie FG schaalt dus niet mee met het aantal inwoners.

Wat is de ideale formatie voor een FG?

Uit de resultaten blijkt dat de ideale formatie voor een FG wisselt tussen 0,43 fte en 1 fte. Hiermee wordt dus aangegeven dat een formatie van minder dan 0,43 fte onvoldoende is, ongeacht de grootte en type van de organisatie. De benodigde formatie voor de FG is van een aantal dingen afhankelijk.

  • De ambitie op het gebied van privacy: hoe hoger, hoe meer fte FG benodigd.
  • De beweging die plaatsvindt op het gebied van privacy (door bijvoorbeeld de privacy officer): hoe meer beweging, hoe meer er te controleren valt door de FG.
  • Positionering van de FG: intern of extern. Intern is vaak een hogere formatie nodig om ook de kennis op peil te houden. Een externe FG doet dit in de eigen tijd.
  • Taakverdeling van de FG: idealiter is de FG enkel toezichthoudend. Als er meer taken bij de FG belegd worden, is er dus meer formatie nodig of moet het takenpakket herzien worden.

Op de taakverdeling en positionering van de FG gaan wij in dit artikel verder in.

 De taken van een FG

Een FG (in het Engels ook wel Data Protection Officer genoemd) is de toezichthouder op het naleven van wet- en regelgeving. Een FG is verplicht voor overheidsinstanties[1].

Artikel 39(1) van de AVG schrijft de minimale taken van de FG voor:

  • de organisatie informeren en adviseren over diens verplichtingen op het gebied van privacywetgeving;
  • toezien op het naleven van de AVG en andere privacywetgeving (waaronder de governancestructuur, bewustwording en training);
  • advies geven over de uitvoering van DPIA’s;
  • samenwerken met de Autoriteit Persoonsgegevens en optreden als diens contactpunt.

Bij dit alles dient de FG een risicogerichte benadering te hebben[2]. Uit ons formatieonderzoek van 2019 onder onze eigen klanten blijkt dat de FG naast het wettelijke takenpakket een aantal aanvullende taken heeft, zoals toezien op de kwaliteit van het Register van Gegevensverwerking en het adviseren rondom datalekken.

De positie en het takenpakket van de FG is helder omschreven in de AVG. En toch zien we vaak knelpunten ontstaan. We lichten twee belangrijke knelpunten hieronder uit: dubbelrollen en positionering.

Knelpunt 1: dubbelrollen en de FG-functie

Wij zien vaak dat een FG meerdere rollen heeft, zoals informatiemanager of kwaliteitsmedewerker. De Autoriteit Persoonsgegevens waarschuwt ervoor dat een medewerker die de rol van FG krijgt naast de vaste werkzaamheden te maken kan krijgen met tijdgebrek[3] omdat er dan geen vast percentage tijd wordt gereserveerd en gebruikt voor FG-taken.

Ook zien we bij M&I/Partners dat de werkbelasting van de FG de afgelopen jaren is gegroeid, doordat er intern en extern steeds meer aandacht is voor privacy. Dit leidt tot meer vragen van medewerkers en klanten die beantwoord moeten worden en tot meer behoefte aan controle (bijvoorbeeld rondom de uitvoering van DPIA’s of het sluiten van verwerkersovereenkomsten). 

Soms is de andere functie die de medewerker heeft, niet zuiver gescheiden te houden van de FG-functie. Er zijn twee functies die, gecombineerd met een FG-taak, kunnen zorgen voor een belangenverstrengeling.

  1. Combinatie van FG-taken met een managementrol
    Het management heeft als doel om de belangen van de organisatie te verdedigen. Zij besluiten welke risico’s (onder andere op het gebied van privacy) acceptabel zijn en wanneer er maatregelen moeten worden genomen. Dit is een afweging van kosten en baten. Als iemand met een managementfunctie daarnaast óók FG is, zal deze persoon snel te maken hebben met inhoudelijke belangenverstrengeling. Een ICT-manager die de opdracht heeft te bezuinigen kan ervoor kiezen om bepaalde privacyrisico’s te accepteren omdat dit een financieel voordeel oplevert. Het is echter niet de taak van de FG om te bepalen welke risico’s een organisatie accepteert of niet, maar enkel om hierover te adviseren.
  2. Combinatie van FG-taken met de rol van privacy officer
    De privacy officer is een uitvoerende functie binnen de organisatie op het gebied van privacy[4]. Wanneer de privacy officer ook de FG is, houdt de medewerker toezicht op de taken die hij zelf uitvoert. Het is niet moeilijk om te zien dat dit leidt tot een slager die zijn eigen vlees keurt. Zo kan een privacy officer een DPIA uitvoeren en de belangrijkste risico’s vaststellen, maar is de FG uiteindelijk verantwoordelijk voor het toetsen van de uitvoer van de DPIA en het adviseren van het management hoe om te gaan met deze risico’s.

Voordat de FG van start gaat is het dus belangrijk dat er een duidelijk onderscheid wordt gemaakt tussen toezichthoudende en uitvoerende taken. En dat de verantwoordelijkheden duidelijk belegd worden.

Knelpunt 2: positionering van de FG

Veel organisaties maken gebruik van een externe FG. Zij huren een FG in via een advies- of juridisch bureau of sluiten een contract af met een ZZP’er. Gezien de kans op belangenverstrengeling hierboven klinkt dat als een logische keuze. Maar betekent dat ook dat een interne FG niet mogelijk is? 

De AVG schrijft niet voor dat een FG een externe medewerker moet zijn. Wel stelt de wet dat de FG een sterk coördinerende rol heeft en adviseert op strategisch niveau. Hij moet zijn taak onafhankelijk kunnen uitvoeren[5]. Dat betekent ook dat de FG direct aan de directie dient te rapporteren en niet aan ‘tussenlagen’.

Een interne of externe FG heeft voor- en nadelen.

Een interne FG

  • moet kennisborging in de tijd van de organisatie doen;
  • kent de organisatie door en door, heeft daardoor korte lijnen;
  • afspraken rondom tijd, taken en verantwoordelijkheden moeten nog gemaakt worden;
  • past zich sneller in, in de cultuur van een organisatie en weet het management op een logische manier te benaderen.

Een externe FG

  • moet kennisborging in de eigen tijd doen, heeft vaak al meer ervaring;
  • staat verder van de organisatie af, kan hierdoor kritischer zijn;
  • afspraken rondom tijd zijn duidelijk, afspraken rondom taken en verantwoordelijkheden moeten nog gemaakt worden;
  • externe FG is vaak FG voor meerdere organisaties, daardoor hebben ze een goed beeld van wat er speelt op landelijk of sectoraal niveau;
  • het nadeel is echter dat een externe FG de organisatie minder goed kent.

Onafhankelijk en goed gepositioneerd

Het belangrijkste is dus dat een FG onafhankelijk is en goed gepositioneerd wordt in de organisatie. Of er wordt gekozen voor een persoon in vaste dienst of vanuit een extern bureau is van minder belang en heeft meer te maken met de voorkeuren van de organisatie. 

Kiest een organisatie voor een interne FG, dan moeten er vooraf duidelijke afspraken worden gemaakt en vragen worden gesteld.

  • Heeft de FG nog andere rollen/functies, en hoe zijn deze te combineren?
  • Kan de FG kritisch zijn zonder dat dit nadelen oplevert in de werksfeer?
  • Welk percentage van zijn tijd mag de FG besteden aan de FG-taken?
  • Hoe houdt de FG zijn kennisniveau op peil?
  • En hoe wordt de FG gepositioneerd in de organisatie, zodat de onafhankelijkheid gewaarborgd blijft?

Let op: een deel van deze vragen is ook belangrijk wanneer er wordt gekozen voor een externe FG!

Conclusie

  • De Functionaris Gegevensbescherming is een relatief nieuwe rol, die sinds 2018 wettelijk verplicht is voor veiligheidsregio’s, SSC’s en gemeenten[6].
  • Alle benaderde organisaties (39 gemeenten, 5 veiligheidsregio’s en 5 SSC’s) hebben een Functionaris Gegevensbescherming.
  • De formatie van de Functionaris Gegevensbescherming van de organisaties die wij hebben benaderd liep sterk uiteen. Wij zien wel een trend in de gewenste formatie: tussen de 0,4 en 1 fte.

Een goede positionering en een duidelijk takenpakket van de Functionaris Gegevensbescherming zijn minstens zo belangrijk als voldoende formatie. Een FG die niet onafhankelijk kan functioneren, is waardeloos, ongeacht de hoeveelheid fte’s.

Meer weten?

Wil je meer weten over de formatie binnen jouw organisatie, het FG-takenpakket of heb je andere, privacy-gerelateerde vragen? Neem dan contact op met Marit Wensink. 

In november verscheen het artikel de formatie van de privacy officer



[1] Artikel 37(1) Algemene Verordening Gegevensbescherming
[2] Artikel 39(2) Algemene Verordening Gegevensbescherming
[3] Autoriteit Persoonsgegevens, Richtlijnen voor functionarissen voor de gegevensbescherming (FG’s), https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/richtlijnen_fg.pdf
[4] In onze volgende blog zullen we dieper ingaan op de formatie, het takenpakket en de positionering van de privacy officer.
[5] Artikel 38(3) Algemene Verordening Gegevensbescherming
[6] Artikel 37(1)(a) Algemene Verordening Gegevensbescherming



Terug naar het overzicht

Verplichte risico- en informatie-analyse: DPIA's

Ons DPIA-model brengt structuur in de wettelijke vereisten en nodigt uit om hier pragmatisch en effectief mee aan de slag te gaan.

Ontdek het model

Gerelateerde publicaties

In deze serie podcasts van M&I/Partners nemen Ralph Wagter en Tobias van Oerle u in 20 minuten mee in de wereld van informatiebeveiliging en de nieuwe privacywetgeving, de AVG/GDPR. Luister de eerste podcast: De AVG/GDPR na 25 mei. 

Lees verder