De onafhankelijkheid van functionarissen voor gegevensbescherming (FG’s) is een hoeksteen van de Algemene Verordening Gegevensbescherming (AVG). Het Hof van Justitie van de Europese Unie heeft in de arresten Leistritz (C-534/20) en X-FAB (C-453/21) deze onafhankelijkheid verder verduidelijkt. De nadruk ligt op het vermijden van belangenconflict en het waarborgen dat FG’s hun taken naar behoren kunnen uitvoeren
Om het recht op gegevensbescherming te waarborgen, regelt artikel 38 AVG de onafhankelijke positie van FG’s. Daar staat dat FG’s naar behoren en tijdig betrokken moeten worden als de AVG van toepassing is. Ze moeten ondersteuning en voldoende middelen krijgen. Daarnaast mogen ze geen instructies ontvangen en niet worden ontslagen of gestraft.
Hetzelfde artikel verduidelijkt dat FG’s opereren op bestuurs- en directieniveau (‘rechtstreeks verslag aan het hoogste leidinggevende niveau’). Personen over wie gegevens worden verwerkt, moeten bij problemen gemakkelijk op de FG kunnen terugvallen. De FG is wettelijk gehouden tot geheimhouding, en tenslotte mag er geen sprake zijn van belangenconflict.
Functionele onafhankelijkheid
Het Hof van Justitie van de Europese Unie, de hoogste rechter in AVG-zaken, legt artikel 38 uit als de vereiste van functionele onafhankelijkheid. Dat blijkt uit twee uitspraken sinds de inwerkingtreding van de AVG.
In het Leistritz-arrest uit juni 2022, gaat het Hof in op de vraag of je een FG kunt ontslaan. Kort gezegd is het Hof van oordeel dat een FG géén ontslagbescherming heeft zolang het gaat om ontslag volgens het gewone arbeidsrecht – denk aan gewichtige redenen zoals ontslag bij wangedrag of in situaties dat de FG door een reorganisatie overtollig is geworden.
FG’s hebben echter wél ontslagbescherming bij de uitoefening van hun taken. Ze mogen niet worden ontslagen bij een reorganisatie – om bij het vorige voorbeeld te blijven – zolang er AVG-belangen zijn waarvoor ze zich moeten inzetten (de FG is dan juist niet overtollig). Hierbij maakt het niet uit of het gaat om een FG in vaste dienst of op basis van inhuur.
De functionele onafhankelijkheid waar het hier om draait, is dat FG’s ongehinderd hun werk moeten kunnen doen. Dat blijkt des te meer uit het X-FAB-arrest van februari 2023, waarin het Hof benadrukt dat FG’s een sleutelrol spelen in de realisatie van AVG-doelen. FG’s moeten dan ook beschermd worden tegen elke beslissing waarbij aan hun functie een einde wordt gemaakt, hen nadeel wordt toegebracht of een sanctie wordt opgelegd.
Onverenigbare taken
Dat je FG’s niet mag instrueren, zoals artikel 38 AVG voorschrijft, ligt in dezelfde lijn. Zo houdt functionele onafhankelijkheid net zozeer in dat organisaties ervoor moeten zorgen dat zich geen belangenconflict kan voordoen tussen de uitoefening van FG-taken en eventuele andere werkzaamheden.
Wat dat precies betekent, werkt het Hof van Justitie ook verder uit in de X-FAB-zaak. Het Hof legt hier het verband met ‘vaststelling van doel en middelen’ – een formulering die je ook aantreft in de definitie van verwerkingsverantwoordelijke in de AVG. Net zoals in het milieurecht en het mededingingsrecht, verwijst ‘vaststelling van doel en middelen’ naar strategische beslissingsmacht (zeggenschap). Bijvoorbeeld het besluit om een activiteit uit te besteden of onder te brengen in een samenwerkingsverband.
Een FG mag niet tegelijkertijd behoren tot de groep van personen waar die beslissingsmacht berust, want dat is onverenigbaar. Denk niet alleen aan bestuurders, directeuren of managers, maar ook aan hun ondersteuners en op die manier invloed uitoefenen – bijvoorbeeld vanuit de afdeling inkoop, juridische zaken, informatiebeveiliging of informatiemanagement.
In de X-FAB-zaak speelde de vraag of een voorzitter van de ondernemingsraad ook FG kan zijn. Het Hof van Justitie beantwoordt die vraag niet rechtstreeks maar geeft aan dat alle relevante factoren meewegen; wie meebeslist is niet functioneel onafhankelijk genoeg om ook de FG te kunnen zijn. Het is uiteindelijk aan de nationale rechter om dat te toetsen. Persoonlijk denk ik bij een OR meteen al aan medezeggenschap. Dus dat duidt op belangenconflict.
Checks & balances
Een FG heb je niet voor niets – die functie hoort bij het zijn van een organisatie in de datamaatschappij, zéker bij activiteiten met een hoog risicoprofiel. De opdracht aan bestuurders en directies is om de FG-functie deugdelijk in te richten en in stand te houden. We hebben het over het waarborgen van de juiste checks & balances (organisatie van tegenspraak).
Omgekeerd geredeneerd kun je verzuim op dit vlak beschouwen als géén good governance – vandaar ook het boeterisico in artikel 83.4 AVG. Het Hof wijst er in de X-FAB-zaak op dat bij de beoordeling van de functionele onafhankelijkheid, met name gelet moet worden op de organisatiestructuur, wat aansluit bij gangbare opvattingen over organisatie-inrichting volgens het 3 lines-besturingsmodel (de FG staat dan inderdaad apart).
De FG-functie doet in eerste instantie denken aan die van de accountant of auditor, maar let erop dat de onafhankelijkheid van beide laatste beroepsgroepen niet wettelijk is verankerd. Bij de FG is dat wél het geval. Andere beroepsgroepen waarbij je dit ziet, zijn rechters, inspecteurs en ombudspersonen (zie ook de blog Wat is een FG?).
Het besef dat met een FG een kei wordt bedoeld, maakt direct duidelijk waarom functionele onafhankelijkheid staat of valt met de persoon van de FG. Of in de bewoording van artikel 37.5 AVG: ‘zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen om de in artikel 39 bedoelde taken te vervullen’.
Grensrechter/coach
Ik vergelijk de FG vaak met een grensrechter/coach: heb je het in je om de organisatie bestuurlijk verder te helpen, zodat de doelen van de AVG worden gerealiseerd? Want dat is waarom je op het hoogste niveau functioneert en verslag doet. Functionele onafhankelijkheid is meteen ook je eerste graadmeter, die je aan den lijve ondervindt; klopt je positie?
Hoe beter de functionele onafhankelijkheid van de FG gewaarborgd is, hoe aannemelijker het is dat de organisatie ook op andere manieren goed op de AVG inspeelt. Voldoen aan de AVG doet een organisatie niet van de ene op de andere dag. En precies daarom hebben besturen en directies een FG nodig zoals de AVG aangeeft; ze helpen je om goed in de wedstrijd te blijven.