De Functionaris gegevensbescherming (FG) is een onmisbare schakel in informatiebeveiliging en privacy. Een goed gepositioneerde FG maakt het verschil tussen privacy als vinkje en privacy als fundament. Toch blijkt in de praktijk dat de rol, verantwoordelijkheden en processen rondom de FG lang niet altijd helder zijn. En dat is een risico. Duidelijke positionering van de FG versterkt de naleving van de AVG én het vertrouwen van betrokkenen. In deze blog lees je hoe je de FG goed neerzet in jouw organisatie.
Waarom is een goede positionering van de FG zo belangrijk?
Zonder duidelijke positionering wordt het voor de FG lastig om daadwerkelijk gehoord en serieus genomen te worden. De AVG wijst de FG aan als onafhankelijke interne toezichthouder. Dat houdt in dat de FG moet vrij kunnen adviseren, controleren én signaleren. Dus zonder druk, zonder ruis, zonder barrières. Duidelijke rollen en verantwoordelijkheden zijn onmisbaar voor een professionele invulling van de FG-functie. Zeker in een tijd waarin privacyvraagstukken steeds complexer worden.
Voorbeeld:
Bij de ontwikkeling van een nieuwe app voor afvalinzameling werd de FG pas ingeschakeld nadat de applicatie al in gebruik was genomen. Hierdoor kwamen privacyrisico’s aan het licht die achteraf lastig te mitigeren bleken. Vroegtijdige betrokkenheid van de FG had deze risico’s in een eerder stadium voorkomen kunnen worden.
De rol van de FG: adviseur én toezichthouder
De FG vervult twee kernrollen:
- Als adviseur denkt hij mee over risico’s en oplossingen. Denk aan vragen zoals: Is deze verwerking proportioneel? Hoe borgen we transparantie?
- Als toezichthouder ziet hij toe op naleving van de AVG en signaleert hij wanneer het mis dreigt te gaan.
Belangrijk signaalwoord: voorkomen is beter dan genezen. Daarom moet de FG vroegtijdig worden betrokken bij nieuwe initiatieven. Dat is geen formaliteit, maar slimme risicobeheersing.
Rolverdeling: wie doet wat?
✔️ De organisatie stelt het privacybeleid op en voert het uit.
✔️ De FG houdt toezicht op naleving en adviseert gevraagd én ongevraagd.
✔️ De AP is de externe toezichthouder, maar verwacht wel dat de organisatie eerst de FG betrekt.
Een goede FG is onafhankelijk, deskundig en zichtbaar. Hij heeft directe toegang tot het bestuur en krijgt voldoende tijd, middelen en ruimte om zijn werk goed te doen.
Voorbeeld:
Een zorginstelling geeft de FG een plek onder de juridische afdeling, zonder zelfstandige rapportagelijn naar het bestuur. Resultaat? De onafhankelijkheid komt onder druk te staan. Een betere oplossing: de FG rapporteert direct aan de raad van bestuur, met vaste momenten voor overleg.
‘Comply or explain’ en zichtbaarheid
Organisaties hoeven adviezen van de FG niet blind op te volgen, maar ze moeten wel kunnen uitleggen waarom ze het niet doen. Dat heet ‘comply or explain’. Dit principe voorkomt dat adviezen in de la verdwijnen. Daarnaast moet de FG zichtbaar en benaderbaar zijn – zowel intern als extern. Een duidelijk e-mailadres zoals fg@organisatie.nl helpt al enorm.
De FG in contact met de Autoriteit Persoonsgegevens (AP)
De FG is het eerste aanspreekpunt voor de AP. Hij moet dus altijd op de hoogte zijn van communicatie tussen de AP en de organisatie.
Klachten en escalatie: eerst de FG
Klachten over privacy dienen bij voorkeur eerst aan de FG voorgelegd te worden. Pas als interne afhandeling uitblijft, komt de AP in beeld. Dit draagt bij aan een efficiënter en zorgvuldiger klachtproces.
Tip: Maak deze route duidelijk zichtbaar op je website of in interne communicatie. Voorkom onnodige escalaties.
