Als je je afvraagt wat een Functionaris Gegevensbescherming (FG) eigenlijk is, en welke juridische status een FG-zienswijze heeft, heb je in de eerste plaats het onderstaande rijtje in de gaten te houden. Het is het rijtje dat het EU Hof van Justitie hanteert bij hantering van EU-wetgeving:

  1. EU-wetgeving is as-is – er staat wat er staat, verzin er niets omheen
  2. Betekenis is multi-linguïstisch – ook de bewoording in de andere EU-talen moet je meewegen
  3. De scope / bedoeling is leidend – waar gaat het nou eigenlijk om, in de kern? Vandaar mijn eerdere blog Laten we stoppen met privacy
  4. De rationale / het ‘systeem’ is bepalend – de risk based approach die ook is vervat in de wettelijke taakstelling van FG’s. Welke logica wordt gevolgd en wat zijn de mechanismes?
  5. Samenhang met overig EU-recht is van invloed – in de eerste plaats de samenhang tussen EU-verordening 2016/679 (de AVG) en EU-richtlijn 2016/680 (de AVG voor de justitieketen), maar bijvoorbeeld ook de vrijstelling van aanbesteding van FG-schap volgens EU-richtlijn 2014/24 (de Europese aanbestedingsrichtlijn)
  6. EU-wetgeving overrulet nationaal recht – schoolvoorbeelden zijn het Van Gend en Loos-arrest en Costa/ENEL-arrest
  7. Tenzij EU voorziet in vrije beleidsruimte – en die vrije beleidsruimte harmonieus wordt benut, want anders geldt punt 6. Vandaar mijn blog Laten we stoppen met WPG-audits

De FG in alle talen

Door vervolgens de bepalingen over de FG in Verordening 679 (AVG) en Richtlijn 680 (Richtlijn justitiële gegevens) in alle talen op elkaar te leggen en dat weer te vernederlandsen, wordt met FG bedoeld:

Raadsman: Deze term benadrukt de raadgevende functie en begeleiding van een organisatie als wetsexpert en praktijkdeskundige.

Toezichthouder: Deze term benadrukt de rol van de FG als wettelijk toezichthouder op de interne naleving van wet- en regelgeving en eigen beleidsafspraken.

Commissaris: Deze term benadrukt de onafhankelijke status en gezag van de FG-rol. De term komt overeen met benaming in landen zoals Duitsland (vgl. het het Nederlandse ‘raad van commissarissen’ en het Engelse commissioned).

Ombudsman: Deze term benadrukt de rol van de FG als neutrale en onpartijdige bemiddelaar tussen een organisatie en klagers. De benaming wordt daarom gebruikt in Zweden.

Inspecteur: Deze term benadrukt de controlerende bevoegdheden van de FG als onafhankelijk auditor en wordt in Polen gebruikt.

De vlag ‘functionaris’ dekt daarmee de lading niet. Dat is nogal een manco in de Nederlandse vertaling van de AVG. Functionaris voor gegevensbescherming klinkt bovendien te ambtelijk voor het bedrijfsleven.

Juridische status van de FG

Aan de andere kant, is het goede van ‘functionaris’ toch ook weer dat het uitdrukt dat FG-schap een officiële functie is – naast directeur, secretaris, wethouder, enzovoorts. De FG is een official, die je intern kunt aanwijzen of extern op basis van een dienstverleningsovereenkomst, volgt uit de AVG.

De FG is niet noodzakelijk een interne toezichthouder maar kan net zo goed een externe toezichthouder zijn. Wel is de FG, zo geeft overweging 97 AVG aan, de toezichthouder op de interne naleving. Juridisch maakt dat wezenlijk verschil; een FG is niet zoiets als een compliance officer, maar de wettelijk toezichthouder die het meest dicht op het vuur zit.

Daarmee kloppen de Uitvoeringswet AVG (zie ook paragraaf 5.2.7 memorie van toelichting) en de publicaties van de Autoriteit Persoonsgegevens niet. Deze geven aan dat de FG wél een interne toezichthouder is. Dus geldt het bovenstaande punt 6; EU-wetgeving overrulet het nationale recht.

Praktische consequenties

Alles in aanmerking genomen is een FG toezichthouder naar Europees recht voor de organisatie die hem/haar heeft aangewezen. De positie en taken van de FG zijn in deze wetten verankerd.

Voor een organisatie in de hoedanigheid van verwerkingsverantwoordelijke (voor verwerkers ligt dat wat anders), telt enkel de zienswijze van de eigen FG. Dus niet die van anderen.

FG’s kunnen hun zienswijzen afstemmen maar blijven afzonderlijk verantwoordelijk voor informeren en adviseren (normuitleg) en toezicht conform hun taakstelling. Een en ander op basis van de expert knowledge van EU-gegevensbeschermingswetgeving en de praktijk waarover iedere FG behoort te beschikken.

Zolang het gaat om gegevensbescherming, heeft FG-advies en -toezicht voorrang op audits van anderen, juridisch advies, accountantscontrole of zoiets als rekenkamertoetsing.

In voorkomende gevallen werkt de FG samen met de Autoriteit Persoonsgegevens. Logischerwijs is de Autoriteit Persoonsgegevens ook gehouden aan het omgekeerde.

Als goed FG hou je natuurlijk rekening met de opvattingen van landelijke toezichthouders, en vooral de publicaties van het EU coördinatiemechanisme EDPB.

Tegelijk voorzien Verordening 679 en Richtlijn 680 nergens in een hiërarchie, dus blijf je uiteindelijk ook van hen onafhankelijk vanwege het rijtje van 7 waarmee deze blog begon. Boven de FG staat de rechter en uiteindelijk het EU Hof van Justitie.


Over de auteur

Terug naar het overzicht