De combinatie van de FG-rol met andere functies is een veelgestelde vraag binnen organisaties. Vooral in overheidsorganisaties, waar functies soms gecombineerd worden, is deze vraag actueel. Kan iemand tegelijk FG en CISO zijn? Of FG en gegevensbeheerder?
Wat zegt de AVG over de onafhankelijkheid van de FG?
De Algemene verordening gegevensbescherming (AVG) stelt strikte eisen aan de positie van de Functionaris gegevensbescherming (FG). Belangrijke bepalingen zijn:
- Artikel 38, lid 3 AVG: de Functionaris gegevensbescherming (FG) mag geen instructies ontvangen over de uitvoering van zijn taken.
- Artikel 38, lid 6 AVG: de Functionaris gegevensbescherming (FG) mag geen functie bekleden die leidt tot een belangenconflict.
Concreet betekent dit dat de FG onafhankelijk toezicht moet houden op de naleving van de AVG. Een gecombineerde functie mag niet leiden tot invloed op de doelen of middelen van gegevensverwerking.
Voorbeeld: als een CISO verantwoordelijk is voor het informatiebeveiligingsbeleid én als FG toezicht moet houden op dat beleid, ontstaat er een belangenconflict.
Veelgestelde vraag in de praktijk
De vraag of functies als FG en CISO of gegevensbeheerder gecombineerd mogen worden, is één van de meest gestelde vragen tijdens audits, trainingen en compliance-trajecten. De behoefte aan duidelijkheid is groot, zeker bij kleinere overheidsorganisaties waar personeel meerdere taken op zich neemt.
Het korte antwoord: alleen als er geen sprake is van sturing op beleid of verwerking zelf. De rollen moeten zuiver en aantoonbaar gescheiden zijn.
Wanneer is een combinatie van functies mogelijk?
Niet elke combinatie is verboden. De AVG biedt ruimte, zolang de onafhankelijkheid van de FG gewaarborgd blijft. Dit vereist een inhoudelijke beoordeling van taken, bevoegdheden en verantwoordelijkheden.
Voorbeelden van mogelijke situaties:
- Een CISO die alleen uitvoert, zonder beleidsverantwoordelijkheid.
- Een gegevensbeheerder die uitsluitend technische beheerwerkzaamheden uitvoert.
- Een juridisch medewerker die niet beslist, maar alleen toetst en adviseert.
Wat is er nodig:
- Duidelijke taakomschrijvingen;
- Heldere functieafbakening;
- Interne vastlegging van scheiding van verantwoordelijkheden;
- Borging in het organogram en rapportagelijnen.
Positionering van de FG is belangrijk voor AVG-naleving
Volgens artikel 38, lid 3 AVG moet de FG rechtstreeks rapporteren aan het hoogste managementniveau. De FG moet toegang hebben tot het hoogste managementniveau om zijn toezichthoudende rol goed te kunnen vervullen. Zorg dus voor:
- Een onafhankelijke plaats in de organisatie;
- Rechtstreekse rapportagelijn naar directie of bestuur;
- Voldoende tijd, middelen en ondersteuning;
- Toegang tot alle relevante informatie.
Deze inrichting maakt het verschil tussen een formeel aanwezige FG en een daadwerkelijk werkende privacytoezichthouder.
Voorbeelden uit de praktijk
Voorbeeld 1: In een gemeentelijke organisatie werd de FG-rol gecombineerd met die van IT-manager. De IT-manager had invloed op beleid en inrichting van verwerkingen. De combinatie bleek in strijd met de AVG.
Voorbeeld 2: Een organisatie stelde een juridisch adviseur aan als FG. Deze had geen beleidsbevoegdheid en hield onafhankelijk toezicht. De combinatie werd geaccepteerd, mede door heldere functieafbakening.
Voorbeeld 3: Bij een inspectiedienst was de FG gepositioneerd binnen de interne auditafdeling, mét directe toegang tot de secretaris-generaal. De taken waren gescheiden en het toezicht functioneerde onafhankelijk.
Conclusie: inhoud van de functie is bepalend
De AVG verbiedt het combineren van functies niet letterlijk, maar stelt wél duidelijke grenzen. Het gaat niet om titels, maar om wat iemand doet. Als de FG ook verantwoordelijk is voor de verwerking van gegevens, is er sprake van een belangenconflict. Controleer regelmatig de inrichting van de FG-rol. Een juiste positionering beschermt niet alleen tegen risico’s, maar laat ook zien dat privacy serieus wordt genomen wordt.
FG-as-a-service van De Privacy Experts
Voor organisaties die wel een FG nodig hebben, maar deze rol niet intern kunnen invullen, biedt De Privacy Experts een praktische oplossing: FG-as-a-service. Een ervaren privacyprofessional neemt de wettelijke FG-taken op zich, met volledige onafhankelijkheid en actuele expertise. Zo voldoe je aan de AVG-eisen én profiteer je van flexibele inzet en structurele ondersteuning. Deze dienst sluit goed aan bij de behoeften van organisaties en instellingen met beperkte capaciteit.
