Interne privacytoezichthouders bij bedrijven kunnen zich soms onvoldoende onafhankelijk opstellen en krijgen niet altijd de mogelijkheid hun werk goed te doen. Dat concludeert de Europese koepel van privacytoezichthouders. Ook in Nederland is dat volgens de AP het geval.
De Europese koepel van privacytoezichthouders, de European Data Protection Board, deed onderzoek naar de positie van functionarissen gegevensbescherming. Onder de AVG moeten overheden en bedrijven die met persoonsgegevens werken, in de meeste gevallen zo'n FG in dienst hebben. Een FG is een interne privacytoezichthouder die een onafhankelijke positie moet hebben en problemen moet kunnen aankaarten bij de bedrijven. Volgens de EDPB is die positie bij de meeste FG's goed, maar is er ook nog werk aan de winkel.
Voor het onderzoek vroeg de EDPB nationale toezichthouders een vragenlijst uit te sturen. In Nederland stuurde de Autoriteit Persoonsgegevens de vragenlijst naar 12.675 FG's, waarvan er zo'n 950 reageerden. Daaruit komt een gemengd beeld naar voren. Zo krijgen FG's weliswaar relatief veel cursussen en trainingen, maar het budget is bij slechts 62 procent voldoende om alle taken goed uit te kunnen voeren, zeggen de respondenten. Er komt ook een beeld naar boven dat de rol van FG's in Nederland slechter gedefinieerd is dan in andere Europese landen. Een laag aantal FG's geeft aan dat hun taken duidelijk zijn beschreven en bekend worden gemaakt in de organisatie.
Nederlandse FG's geven ook aan dat ze opvallend weinig betrokken worden bij verzoeken of informatievoorzieningen binnen de organisatie. Een op de vijf respondenten zegt zelfs dat dat vrijwel nooit gebeurt. Ook bij datalekken vragen organisaties FG's slechts in de helft van de gevallen om advies, veel minder dan in veel Europese landen. Nederlandse organisaties volgen adviezen van FG's ook minder goed op dan organisaties in andere Europese landen.
De Autoriteit Persoonsgegevens zegt dat er 'nog steeds te veel FG's zijn die zich niet in een goede positie bevinden'. "Bijvoorbeeld omdat zij niet onafhankelijk hun werk kunnen uitvoeren." De AP had de begeleiding van en controle op functionarissen gegevensbescherming vooral in 2018 hoog op de agenda staan, kort nadat de AVG van kracht was geworden.