In de praktijk zie je verschillende soorten FG. De een doet zijn best, de ander loopt vast in papierwerk of zit in een rol die eigenlijk niet past. Soms helpt dat de organisatie vooruit, soms juist niet. Waar ligt dat aan? En wat kun je als bestuurder doen om de FG-functie beter te laten werken, in lijn met de AVG én in het belang van je organisatie? In deze blog deel ik vijf tips voor een sterke invulling van de FG-functie.
De FG in de AVG
De functionaris voor gegevensbescherming (FG) is de toezichthouder op de naleving van de AVG en aanverwante wetgeving. De rol is wettelijk vastgelegd. Ook het Hof van Justitie van de Europese Unie heeft inmiddels verduidelijkt: de FG vervult een sleutelrol als randvoorwaarde voor maatschappelijk verantwoorde digitalisering.
Wat de accountant is voor financiële gegevens, is de FG voor persoonsgegevens. Met dit verschil: de FG houdt fundamenteler toezicht. Hij richt zich op legitiem handelen, bescherming van personen, borging van publieke waarden en bevordering van innovatie. Organisaties die hier onvoldoende grip op hebben, lopen risico. Denk aan het Toeslagenschandaal of de recente hack bij Bevolkingsonderzoek Nederland.
Toezicht op toezicht
De AVG benadrukt dat de FG bestuurders ondersteunt in hún toezicht. Hij neemt dat toezicht dus niet over, maar rapporteert over de mate waarin het hoogste leidinggevende niveau (het bestuur) zijn verantwoordelijkheid neemt. De FG bewaakt onder meer de effectiviteit van beleidsafspraken, DPIA’s en audits. Als dataprotectieombudsman – een andere Unierechtelijke benaming – kan hij onafhankelijk klachtonderzoek doen.
De FG moet onafhankelijk functioneren ten opzichte van de onderdelen waarop hij toezicht houdt. Belangrijk is bovendien dat de functie wordt vervuld door iemand met expert knowledge van het (Europeesrechtelijk) wettelijk kader én praktijkdeskundig is. Dat zijn eisen waar je niet ‘even’ aan voldoet. Gelukkig biedt de AVG ook ruimte een FG van buiten aan te wijzen (opnieuw net als de accountant).
Wat als het anders loopt?
Als de FG zijn rol anders invult dan bedoeld, kan dat wijzen op onvoldoende bekendheid met de AVG, of zelfs op non-compliance. Dat brengt risico’s met zich mee. De AVG koppelt gebrekkige vormgeving van de FG-functie aan een bestuurlijke boete tot 10 miljoen euro. In de praktijk wordt de soep niet altijd zo heet gegeten, maar toch.
Belangrijker nog: de organisatie kan zichzelf in de voet schieten. Als de checks and balances ontbreken, ontstaat kwetsbaarheid. Sinds de invoering van de AVG in 2016 zijn grofweg vier soorten FG ontstaan:
A. De gelegenheid-FG
Benoemd zonder duidelijk besef van de wettelijke rol of vereisten. Vaak omdat ‘er nu eenmaal een FG moet zijn’
Effect: onvoldoende onafhankelijkheid, te weinig kennis en geen tegenkracht richting bestuur. De rol blijft marginaal. De FG zoekt houvast of hulp. Veel FG’s in deze categorie ervaren een gevoel van machteloosheid en vaak ook stress.
B. De privacy jurist-FG
Benadert de AVG technisch-juridisch, met de nadruk op ‘privacybescherming’. Gebruikt jargon als ‘grondslagen’, ‘proportionaliteit’ en ‘doelbinding’. Zoekt het in juridische oplossingen zoals toestemmingsverklaringen en verwerkersovereenkomsten
Effect: te weinig oog voor governance en bredere belangen. Juridische administratieve lastendruk neemt toe. De FG wordt ervaren als hindermacht en daarom liever gemeden.
C. De systeem-FG
Stelt registers, PDCA-tooling, templates en modellen centraal, en beschouwt die als de kern van ‘compliance’. Voelt van nature aansluiting bij auditors die op een vergelijkbare manier te werk gaan met behulp van toetsingskaders.
Effect: schijncontrole en toenemende administratieve druk met te weinig focus op de daadwerkelijke doelen van de AVG. Governance wordt benaderd vanuit systeemvertrouwen. De FG functioneert meer als controller binnen het managementproces, wat leidt tot systeemdwang en een afvinkcultuur
D. De beleid-FG
Verbindt de doelen van de AVG met de ambities en beleidsdoelen van de organisatie. Toetst of bestuurlijke keuzes, processen, innovaties en samenwerkingsverbanden in lijn zijn met de AVG (mens centraal), en beoordeelt of de beleidsvoering doelmatig en doeltreffend is.
Effect: draagt bij aan het terugdringen van administratieve lasten. De FG opereert op bestuursniveau en denkt mee in de digitale transformatie. Contact met de operatie fungeert daarbij als cultuurmeting: het geeft inzicht in het functioneren van het bestuur, het draagvlak voor AVG-doelen en de werking van het governance-model.
Maak het verschil
De beleid-FG is de FG zoals de AVG hem bedoelt. Afhankelijk van de complexiteit van de organisatie hoeft op dit type FG-schap niet zwaar te worden ingezet. Want vergeet niet: de FG staat het bestuur bij. Organisaties die hun financiën niet op orde hebben, huren toch ook niet méér accountants in? Ze moeten hun bedrijfsvoering weer gezond maken. In AVG-zaken is dat niet anders – en juist daar maakt de beleid-FG het verschil.
FG’s die nu nog op een andere manier hun taken invullen, verdienen de kans om door te groeien. De manier van werken heeft vaak ook positieve kanten, maar vraagt om verdere professionalisering. Investeer daarom in hun ontwikkeling én in heldere afspraken over structuur, positie en rol. Uiteindelijk gaat het niet om de persoon, maar om de borging van het FG-schap als onderdeel van een doordachte toekomststrategie.
Vijf tips
1. Veranker het FG-schap in je governance
De FG is geen randverschijnsel, maar je fail safe. Je derde lijn binnen het Three Lines-governancemodel. Borg de functie op bestuursniveau, met een helder mandaat, vaste overlegmomenten en de rol van onafhankelijk adviseur bij besluitvorming over digitaliseringszaken en samenwerkingsverbanden.
2. Kies voor de juiste persoon
Kijk verder dan het vinkje ‘FG’ of een AVG-kenniscertificaat. Je zoekt niet alleen een toezichthouder, maar iemand met wie je kunt sparren. Iemand die onafhankelijk is én verbindend. Die het helder uitlegt, strategisch meedenkt en handelingsopties biedt.
3. Investeer in bestendigheid
AVG-naleving is geen eenmalig project, maar structureel. De FG helpt koers houden en is je coach, sparringpartner én spiegel in één. Een FG heb je daarom niet ‘even’. De functie vraagt om bestendigheid, vertrouwen en ruimte om mee te groeien met je organisatie.
4. Maak de rol van de FG glashelder
De FG-functie werkt alleen als de rol helder is afgebakend en voor iedereen duidelijk. Er mag geen ruimte zijn voor ruis of discussie zodra de FG formeel zijn standpunt inneemt. Leg daarom positie en mandaat vast in een reglement of statuut – óók om bij opvolging de kwaliteit en continuïteit van het toezicht te borgen en de nieuwe FG een solide basis te bieden.
5. Kies bewust voor ‘make or buy’
De FG is méér dan een persoon. Het gaat om een toezichtfunctie die doelmatig moet zijn ingericht, met voldoende middelen en ondersteuning. Zie het als een FG-office. Organiseer je dat zelf of kies je voor een kant-en-klare oplossing? Beide passen binnen de AVG, maar bieden verschillende garanties, zoals onafhankelijkheid, beschikbare expertise, ondersteuning en vervanging. Bij inhuur van een FG (al dan niet met aanvullende ondersteuning) hoort bovendien beroepsaansprakelijkheid – een waarborg die bij FG’s in loondienst ontbreekt. Juist deze extra scherpte versterkt de onafhankelijkheid en het gezag van de FG, zoals wettelijk bedoeld.
Vrijblijvend van gedachten wisselen?