Een Functionaris Gegevensbescherming (FG) stelt jaarlijks een verslag op over de staat van informatiebeveiliging en privacy. Het FG-jaarverslag is een belangrijk instrument voor governance, transparantie en verantwoording. Het FG-jaarverslag geeft inzicht op hoofdlijnen. Het is goed om te weten dat het FG-jaarverslag inzicht op hoofdlijnen biedt en geen detailrapport is. Toch ontstaat regelmatig de vraag:
Waarom staat er in een FG-jaarverslag niet alles tot in detail beschreven?
Een jaarverslag moet inzicht geven, echter mag het geen vertrouwelijk incidentdossier of technisch auditrapport worden. In deze blog lees je waarom dat zo is en hoe je de juiste balans vindt tussen concreet en zorgvuldig rapporteren.
De rol van de FG als uitgangspunt
De Functionaris Gegevensbescherming is op grond van de Algemene verordening gegevensbescherming (AVG) een onafhankelijke interne toezichthouder. De FG:
- Houdt toezicht op de naleving van privacywetgeving;
- Adviseert bestuur en management;
- Informeert betrokkenen;
- Is de contactpersoon voor de Autoriteit Persoonsgegevens.
Het jaarverslag is bedoeld om inzicht te geven in:
- De uitgevoerde toezichtsactiviteiten;
- De staat van informatiebeveiliging en privacy binnen de organisatie;
- Geconstateerde risico’s en trends;
- Aanbevelingen voor verbetering.
Geheimhoudingsplicht van de FG
De FG is wettelijk verplicht tot vertrouwelijkheid. Tijdens het werk krijgt de FG toegang tot:
- Incidentrapportages;
- Interne onderzoeken;
- Klachten van betrokkenen;
- Beveiligingsanalyses;
- Contracten en interne besluitvorming.
Het jaarverslag mag deze vertrouwelijke informatie niet prijsgeven.
Praktijkvoorbeeld
Niet passend in een jaarverslag:
‘Op 14 april bleek dat systeem A door een configuratiefout onbeveiligd toegankelijk was via IP-adres B.’
Wel passend:
‘Er is een beveiligingsincident geconstateerd waarbij ongeautoriseerde toegang tot persoonsgegevens mogelijk was. Het incident is gemeld en er zijn passende maatregelen genomen.’
De kern wordt benoemd, zonder technische kwetsbaarheden openbaar te maken.
Nieuwe beveiligingsrisico’s voorkomen
Te veel detail kan onbedoeld risico’s vergroten. Wanneer een jaarverslag bijvoorbeeld exact beschrijft:
- Welke systemen kwetsbaar zijn;
- Welke afdelingen structureel fouten maken;
- Waar beveiligingsmaatregelen tekortschieten;
kan dit kwaadwillenden waardevolle informatie geven.
Een FG-jaarverslag moet bijdragen aan versterking van de organisatie en niet aan blootstelling van kwetsbaarheden.
Bescherming van medewerkers en interne verhoudingen
Privacytoezicht gaat over systemen, processen en governance — niet over het “aan de schandpaal nagelen” van medewerkers.
Een jaarverslag moet daarom geen individueel verantwoordingsdocument worden.
Voorbeeld
Niet:
‘De HR-manager heeft driemaal het protocol niet gevolgd.’
Wel:
‘Binnen de HR-processen is aanvullende aandacht nodig voor naleving van het privacybeleid.’
De focus ligt op structurele verbetering en niet op individuele schuld. Dit voorkomt ook dat het FG-jaarverslag een defensieve cultuur creëert waarin medewerkers minder open zijn over incidenten.
Strategisch karakter van het FG-jaarverslag
Een FG-jaarverslag is een strategisch document om bestuur en toezicht inzicht te geven in:
- De volwassenheid van privacybeleid;
- Risicotrends;
- Opvolging van adviezen;
- Ontwikkelingen in wet- en regelgeving;
- Prioriteiten voor het komende jaar.
Dat vraagt om een bestuurlijke analyse van patronen, risico’s en verbetermaatregelen, waarbij inzicht wordt gegeven in de staat van gegevensbescherming als geheel en niet om gedetailleerde reconstructies van afzonderlijke incidenten of technische bevindingen.
Wat hoort er wél concreet in een FG-jaarverslag?
Een goed jaarverslag moet concreet zijn, maar het moet wel op het juiste niveau.
Denk daarbij aan:
- Aantal gemelde datalekken;
- Categorieën van incidenten;
- Aantal uitgevoerde DPIA’s;
- Uitgevoerde audits;
- Aantal behandelde klachten;
- Mate van opvolging van adviezen;
- Geconstateerde structurele risico’s;
- Ontwikkelingen in wetgeving.
- Aanbevelingen voor het komende jaar.
Voorbeeld van juiste formulering
‘In het verslagjaar zijn 12 beveiligingsincidenten gemeld, waarvan 3 hebben geleid tot een datalekmelding. De meeste incidenten betroffen menselijke fouten. Extra bewustwordingsmaatregelen zijn geadviseerd en deels is al geïmplementeerd.’
Dat is concreet, informatief en zorgvuldig en zonder vertrouwelijke details.
De juiste balans: transparantie én bescherming
Een sterk FG-jaarverslag is eerlijk over de risico’s die worden gesignaleerd, benoemt duidelijke knelpunten en bevat heldere, onderbouwde aanbevelingen voor verbetering. Het beschrijft trends en structurele aandachtspunten binnen de organisatie, zonder te vervallen in technische details of persoonsgebonden informatie. Daarbij wordt zorgvuldig omgegaan met vertrouwelijkheid. Het jaarverslag moet immers bijdragen aan volwassen privacy governance en bestuurlijk inzicht op hoofdlijnen, niet aan het verspreiden van operationele details.
Zorgvuldige rapportage als teken van professionaliteit
Het idee dat een minder gedetailleerd jaarverslag ‘vaag’ of ‘niet transparant’ zou zijn, berust op een misverstand. Professioneel privacytoezicht betekent dat je bewust onderscheid maakt tussen wat intern volledig moet worden vastgelegd, wat bestuurlijk op hoofdlijnen moet worden gerapporteerd en wat vertrouwelijk moet blijven. Transparantie is niet hetzelfde als volledige openbaarheid van alle details. Het gaat om het delen van relevante informatie op het juiste abstractieniveau, zodat bestuurders kunnen sturen zonder dat veiligheid of vertrouwelijkheid in het gedrang komt.
Conclusie
Het doel van het jaarverslag is niet om elk incident te reconstrueren, maar om bestuurlijk inzicht te geven in de staat van privacybescherming en de stappen die nodig zijn om die verder te versterken.
Een goed opgesteld FG-jaarverslag is daarmee geen technisch rapport, maar een krachtig instrument voor volwassen privacy governance.
