'Interne privacytoezichthouders kunnen hun werk niet altijd goed genoeg doen'

Interne privacytoezichthouders bij bedrijven kunnen zich soms onvoldoende onafhankelijk opstellen en krijgen niet altijd de mogelijkheid hun werk goed te doen. Dat concludeert de Europese koepel van privacytoezichthouders. Ook in Nederland is dat volgens de AP het geval.

De Europese koepel van privacytoezichthouders, de European Data Protection Board, deed onderzoek naar de positie van functionarissen gegevensbescherming. Onder de AVG moeten overheden en bedrijven die met persoonsgegevens werken, in de meeste gevallen zo'n FG in dienst hebben. Een FG is een interne privacytoezichthouder die een onafhankelijke positie moet hebben en problemen moet kunnen aankaarten bij de bedrijven. Volgens de EDPB is die positie bij de meeste FG's goed, maar is er ook nog werk aan de winkel.

Voor het onderzoek vroeg de EDPB nationale toezichthouders een vragenlijst uit te sturen. In Nederland stuurde de Autoriteit Persoonsgegevens de vragenlijst naar 12.675 FG's, waarvan er zo'n 950 reageerden. Daaruit komt een gemengd beeld naar voren. Zo krijgen FG's weliswaar relatief veel cursussen en trainingen, maar het budget is bij slechts 62 procent voldoende om alle taken goed uit te kunnen voeren, zeggen de respondenten. Er komt ook een beeld naar boven dat de rol van FG's in Nederland slechter gedefinieerd is dan in andere Europese landen. Een laag aantal FG's geeft aan dat hun taken duidelijk zijn beschreven en bekend worden gemaakt in de organisatie.

Nederlandse FG's geven ook aan dat ze opvallend weinig betrokken worden bij verzoeken of informatievoorzieningen binnen de organisatie. Een op de vijf respondenten zegt zelfs dat dat vrijwel nooit gebeurt. Ook bij datalekken vragen organisaties FG's slechts in de helft van de gevallen om advies, veel minder dan in veel Europese landen. Nederlandse organisaties volgen adviezen van FG's ook minder goed op dan organisaties in andere Europese landen.

De Autoriteit Persoonsgegevens zegt dat er 'nog steeds te veel FG's zijn die zich niet in een goede positie bevinden'. "Bijvoorbeeld omdat zij niet onafhankelijk hun werk kunnen uitvoeren." De AP had de begeleiding van en controle op functionarissen gegevensbescherming vooral in 2018 hoog op de agenda staan, kort nadat de AVG van kracht was geworden.

Door Tijs Hofmans

Nieuwscoördinator

24-01-2024 • 09:35

67

Reacties (67)

Sorteer op:

Weergave:

Ik ben 1 van de respondenten die deze enquete heeft ingevuld. En ik kan me vinden in de resultaten uit het onderzoek. Ondanks mijn jarenlange inzet, trainingen, voortlichting op intranet etc etc, is de AVG voor 90% - 95 % van de collega's een ver-van-mijn-bed-show. "Dat is toch iets ingewikkelds met privacy ofzo?"
Soms verbaas ik me over het gemak waarmee de werkgever zelf ook de wetgeving overtreed. "We zetten gewoon foto's van collega's op onze website!" Als ik dan aangeef dat het aan de medewerker is om dat zelf te bepalen, krijg ik een sneer dat ik me met "datalekken ofzo" moet bezighouden.
Of managers die denken dat de FG alles rondom de AVG verzorgt. Als ik aangeef dat de FG er is om toezicht te houden op de naleving van de AVG kijken ze me wazig aan. Zo zijn er verschillende trajecten waar al jaren geen VO voor is getekend.
Voor nu doe ik netjes melding bij de bestuurder en is het aan deze persoon om daar iets mee te doen.

In mijn beleving wordt de AVG in het bedrijfsleven alleen maar als een belemmering en irritant gezien. Maar ondertussen zijn mensen er verbaasd over hoeveel Google/Microsoft/Facebook etc van hen weten en ervaren dat als vervelend.

Toevoeging: @Kees : Ik ben inderdaad primair IT Manager en daarnaast FG. Want AVG is iets met computers, dus is IT verantwoordelijk.

[Reactie gewijzigd door 14ReD op 24 juli 2024 08:53]

Soms verbaas ik me over het gemak waarmee de werkgever zelf ook de wetgeving overtreed. "We zetten gewoon foto's van collega's op onze website!" Als ik dan aangeef dat het aan de medewerker is om dat zelf te bepalen, krijg ik een sneer dat ik me met "datalekken ofzo" moet bezighouden.
Of managers die denken dat de FG alles rondom de AVG verzorgt. Als ik aangeef dat de FG er is om toezicht te houden op de naleving van de AVG kijken ze me wazig aan. Zo zijn er verschillende trajecten waar al jaren geen VO voor is getekend.
Voor nu doe ik netjes melding bij de bestuurder en is het aan deze persoon om daar iets mee te doen.

In mijn beleving wordt de AVG in het bedrijfsleven alleen maar als een belemmering en irritant gezien.
Ben zelf FG geweest en ken er daardoor ook vrij veel. Ik hoor veel vervelende verhalen waar de FG gepasseerd wordt terwijl er op sommige momenten een wettelijke plicht is om de FG te betrekken of zelfs om advies te vragen. Een "ongevraagd advies" hierover naar een directie wordt dan ook vaak niet gewaardeerd. De daarop volgende escalaties over de slechte positie t.o.v. directie/management naar bestuurders wordt vaak genegeerd of zelfs nog tegen een FG gebruikt. Zijn er aardig wat om die reden gestopt.

Als ik eerlijk ben denk ik dat de wetgeving redelijk in elkaar zit, maar men vergeet men in die wetgeving dat die FG in een hele rare positie terechtkomt omdat hij als interne toezichthouder aan de ene kant gewoon werknemer is en aan de andere kant wel heel veel managementlagen kan overslaan. Het is nog te makkelijk om die "akelige" FG gewoon uit de loop te houden.
Toevoeging: @Kees : Ik ben inderdaad primair IT Manager en daarnaast FG. Want AVG is iets met computers, dus is IT verantwoordelijk.
Loop je daar niet het risico dat je over je eigen (beveiligings)beleid moet gaan oordelen als FG? Lijstje van onverenigbare nevenfuncties is echt een lastige. Was voor mij uiteindelijk de reden om als FG te stoppen.

[Reactie gewijzigd door J_van_Ekris op 24 juli 2024 08:53]

Ik hoor veel vervelende verhalen waar de FG gepasseerd wordt terwijl er op sommige momenten een wettelijke plicht is om de FG te betrekken of zelfs om advies te vragen. Een "ongevraagd advies" hierover naar een directie wordt dan ook vaak niet gewaardeerd. De daarop volgende escalaties over de slechte positie t.o.v. directie/management naar bestuurders wordt vaak genegeerd of zelfs nog tegen een FG gebruikt. Zijn er aardig wat om die reden gestopt.
Stoppen is dan niet de juiste reactie; de juiste reactie zou zijn dat de FG dit meldt bij de AP. Als hij dan vooraf aangeeft dat hij dat moet gaan doen, is dat wellicht al voldoende om serieuzer genomen te worden.
Loop je daar niet het risico dat je over je eigen (beveiligings)beleid moet gaan oordelen als FG? Lijstje van onverenigbare nevenfuncties is echt een lastige.
Als je beleid maakt, moet je geen FG zijn, ik denk dat dat een veilige richtlijn is. Een medewerker van juridische zaken die affiniteit heeft met techniek zal vaak een voor de hand liggende keuze zijn. Maar in de praktijk kom je inderdaad managers tegen die FG zijn, dat lijkt mij niet slim.

[Reactie gewijzigd door berzerker op 24 juli 2024 08:53]

Stoppen is dan niet de juiste reactie; de juiste reactie zou zijn dat de FG dit meldt bij de AP. Als hij dan vooraf aangeeft dat hij dat moet gaan doen, is dat wellicht al voldoende om serieuzer genomen te worden.
Je vergeet (of waarschijnlijk niet) dat je als FG ook werknemer bent en met klokkenluiders hebben een heleboel werkgevers een probleem. Ik kan mij voorstellen dat een werkgever het je heel moeilijk kan maken en dat je daardoor toch een andere baan zoekt.
Ha, dat vergat ik inderdaad niet. :) Het is natuurlijk een beetje een afweging van geval tot geval, maar je moet dit als FG zakelijk proberen te brengen. Je doet je werk niet uit hoofde van een persoonlijke overtuiging of zo (anders dan een klokkenluider), maar uit hoofde van een uitdrukkelijke wettelijke opdracht, één waar de werkgever tenminste impliciet mee heeft ingestemd bij de benoeming.

En als je daarbij dan kan aangeven dat de rol van de FG in essentie een adviseur is (als de werkgever van de opinie van de FG wil afwijken, dan mag dat) en dat het dus enerzijds geen schade doet om de FG tijdig in het proces te betrekken maar dat het anderszijds wel schade kan voorkomen (omdat de FG er vooraf op kan signaleren dat een voornemen in strijd is met de wet), dan moet de werkgever wel erg dwars zijn wil hij obstinaat blijven.

Wat is het alternatief? Opstappen uit de rol van FG kan, maar ook dan kan de werkgever lastig doen als je de rol van FG 'erbij' doet en er niemand anders te vinden is. Dus dat lost dan niets op, tenzij je helemaal bij die werkgever vertrekt, maar in dat geval heb je daar toch al niet zoveel meer te verliezen lijkt mij, dus waarom het dan niet wat harder proberen te spelen?
Natuurlijk heb je gelijk, maar (er is altijd een maar :) ) als ik bij een bedrijf ga werken mag ik er vanuit gaan dat mijn werkgever mij niets opdraagt wat tegen de wet is. Dus niet alleen als FG, maar dit geldt voor alle werknemers. Ik denk nu vooral aan grote chemische bedrijven die illegaal lozen of als er een ongeluk is gebeurd dit proberen te verdoezelen. Als ik dan eerst naar mijn chef ga en uiteindelijk bij de CEO terecht kom en elke keer nul op het rekest krijg, dan rest mij niets anders dan of mee te doen of als klokkenluider aan de bel te trekken. De werknemer (ik dus) trekt hierbij altijd aan het kortste eind. De praktijk is altijd zo anders dan de theorie.
Tsja, trek je echt aan het kortste eind? Als je dus mee gaat doen, kun je jezelf dan nog in de spiegel aankijken?

Ik heb werkgevers wel vaker een waarschuwing gegeven bij gedrag waarbij wetgeving sterk in het gedwang kwam (niet in functie van een FG, maar als "gewoon" werknemer). Als ze dat willen belonen met ontslag of wegpesten, moeten ze dat vooral doen.

Ieder bedrijf (en persoon) heeft zich aan de wet te houden. Iedere persoon die er aan meewerkt om dat niet te doen of te verdoezelen, is net zo schuldig als het bedrijf zelf.
Ik ben het volkomen met je eens, maar als werknemer trek je altijd aan het kortste eind, of doordat je problemen met jezelf krijgt of doordat je voor je werkgever (en vaak ook voor collega's) onbetrouwbaar bent geworden en wordt weggepest of genegeerd.
Daarnaast word je als klokkenluider slecht beschermd, ook door de wet en de uitvoerende macht. Ik vind dat een klokkenluider beter beschermd zal moeten worden.
Het zal per persoon verschillen, maar een werkgever die ervoor kiest zich niet aan de wet te willen houden, kan wat mij betreft gestolen worden (of liever, aangepakt worden en failliet gaan).

Hoeveel is je eigenwaarde je waard is een belangrijke vraag in deze.

Zou de uitvoerende macht een veel betere bescherming voor klokkenluiders op moeten tuigen? Zeker, maar wellicht zijn er tegengestelde belangen (kijkende naar alle politieke schandalen de laatste 10 tot 20 jaar)?
Het zal per persoon verschillen, maar een werkgever die ervoor kiest zich niet aan de wet te willen houden, kan wat mij betreft gestolen worden (of liever, aangepakt worden en failliet gaan).
Het zijn vaak grote multinationals, zoals Chemours. De overheid knijpt een oogje dicht (werkgelegenheid en prestige) en na jaren komen we erachter dat de schade wel heel groot is. Ook hierin zie je die tegengestelde belangen die ook bij de bescherming van klokkenluiders optreedt.
Je ziet het vaak bij overheidsorganisaties, waar je de man/vrouw op de werkvloer hebt en naarmate je hoger komt in de hiërarchie de politiek een aardig deuntje mee gaat zingen. Een aardig voorbeeld is de fraude bij het LUMC, waarvan de vice-voorzitter van de RvB de fraude niet meldde en nu dreigt het LUMC haar academische status in gevaar te komen. Van belang is ook de promovendus die ontslagen werd omdat zij niet mee wilde werken aan de fraude. Uiteindelijk komt alles toch uit. Lees:
https://www.omroepwest.nl...enhuis-ziet-ernst-niet-in
Mensen die een oogje dichtknijpen zouden keihard aangepakt moeten worden. Strafrechterlijk wel te verstaan. Ook politici, aangezien een oogje dichtknijpen iets anders is dan fouten maken. Maar goed, ik denk dat het veiliger is om te lekken naar de pers dan om intern bij dit soort zaken de oplossing te zoeken.
Stoppen is dan niet de juiste reactie; de juiste reactie zou zijn dat de FG dit meldt bij de AP. Als hij dan vooraf aangeeft dat hij dat moet gaan doen, is dat wellicht al voldoende om serieuzer genomen te worden.
In theorie geef ik je gelijk. Maar uit de verhalen die ik hoor is dat directies en bestuurders dit al snel als een vorm van chantage zien, en daar reageert men vaak niet goed op.

En formeel mag een FG niet ontslagen worden, maar na een serieuze escalatie kan de werkrelatie natuurlijk wel ernstig verstoord raken. En van een verstoorde werkrelatie naar "de FG communiceert kwalitatief onvoldoende met hogere lagen van de organisatie" is een kleine stap. Dus elke serieuze escalatie kan wel eens flink de carriere van de FG beperken. En dan nemen veel FG's liever ontslag met een flinke opgaaf van redenen, in de hoop dat bij een incident die brief boven water komt (en daarmee een systematisch organisatorisch probleem onderbouwt), in plaats van hun carriere te beindigen door een incident.

Dat probleem zit fundamenteel in de wet gebakken, en is niet voorbehouden aan FG's. Er zijn meerdere van dat soort rollen (zoals mensen die tekenen voor productveiligheid of arboveiligheid) die hetzelfde dilemma kennen. Daar zie je dezelfde ellende: soms is men echt bereid op het eigen zwaard te vallen voor het algemeen belang. Maar dat komt vaak wel met enorme persoonlijke kosten (kijk maar eens hoe het met al die klokkeluiders is afgelopen).

Als de AP slim is, volgt men structureel een uitdiensttreding van een FG op met een vragenlijst. Maar je tekent ook voor geheimhouding naar je vorige werkgever, dus of dat wat oplost is maar de vraag.

[Reactie gewijzigd door J_van_Ekris op 24 juli 2024 08:53]

Dat zegt dus iets over die directies en bestuurders, dat ze dat zien als chantage. Incompetente zielige figuurtjes die vinden dat ze boven de wet staan. Gewoon een melding doen zonder verder nadenken of er woorden over vuil te maken. Waarschuwen en bij negatieve reactie gewoon aangeven die handel.

Het is natuurlijk ook wel wat het slappe gedrag van werknemers over mogelijke gevolgen wat ze als excuus gebruiken om het maar niet te doen.
Van andere FG's hoor ik ook dat ze gemakkelijk gepaseerd worden. En dat werkt heel frusterend, want zo kan je je werk niet naar behoren doen. In sommige gevallen is dat in mijn geval ook zo, zeker als je na de feiten de rommel mag opruimen. Dat is zeer frusterend. Gelukkig, of wellicht niet, is het waar ik nu werk vooral zo alles wat naar AVG riekt, voor de FG is en bemoeit men zich verder niet mee. Wellicht is het een resultaat van mijn jarenlange campagne om de collega's te trainen en voorlichting te geven. In mijn geval is het dus eerder onverschilligheid.

Ook ik denk dat de wetgeving best goed in elkaar zit. Het is duidelijk gericht om privacy te beschermen en daar tools voor aan te bieden. Alleen de plek van de FG in de organisatie blijft altijd een hekel punt, waar beter naar gekeken moet worden. De verschillende petten zijn soms lastig om van elkaar te onderscheiden.

Zoals wanneer je terecht aangeeft, moet ik soms mijn eigen vlees keuren, zoals het beveiligingsbeleid. Daarom heb ik vorig jaar een extern bureau in de arm genomen om daarbij ook een onafhankelijke beoordeling over te geven. Maar dat is een prijzige aangelegenheid en aangezien het budget voor de AVG niet groot is, moet ik goed nadenken waarvoor ik die midddelen inzet.
Zoals wanneer je terecht aangeeft, moet ik soms mijn eigen vlees keuren, zoals het beveiligingsbeleid. Daarom heb ik vorig jaar een extern bureau in de arm genomen om daarbij ook een onafhankelijke beoordeling over te geven. Maar dat is een prijzige aangelegenheid en aangezien het budget voor de AVG niet groot is, moet ik goed nadenken waarvoor ik die midddelen inzet.
Herkenbare opzet. Waar ik FG was hebben we dat zo zelfs formeel in bestuursstukken zo vastgelegd, mochten er vragen vanuit een AP komen.
Zeg t als ik stom redeneer. Maar kan je in zo,n case geen aangifte doen wegens t belemeren van je werkzaamheden ?(Dan maar escalatie, zolang jij je werkt doet en je doet t goed.Moeten de "Greed & stropdassen " zwijgen)
Dat is het formele kanaal inderdaad. Maar bedenk wat het doet: je triggert als het goed is een onderzoek vanuit de AP (wat zeker geen gegeven is vanwege de werkdruk daar), en het gevolg is een enorme boete en bestuurders die er op aangekeken worden. In theorie perfect. In praktijk is je positie in die club onhoudbaar geworden en bij sollicitaties is de onherroepelijke vraag "waarom ga je weg bij je vorige werkgever?" een lastig verhaal omdat het verhaal ook omgedraaid kan worden naar de FG (want die communiceerde kwalitatief onvoldoende naar een bestuurslaag). Hoe dan ook is get een serieus carrierebeperkende actie.

Dus meeste FG's in die positie houden de eer aan zichzelf en vertrekken, maar laten een gepeperde opzegbrief bij directie en bestuur achter. Zo'n brief die typisch boven water komt als de AP een onderzoek verricht.
Dat is toch volkomen van de pot gerukt ? Ik persoonlijk zou dan gewoon t PV toevoegen aan mn CV. En als je afgewezen wordt vanwege t naar eer en geweten uitvoeren van je job. Dan zou ik zoiets hebben van ok, dan maar straatveger. alles liever dan voor zo,n Maffia-like organizatie te werken.
Dat is toch volkomen van de pot gerukt ? Ik persoonlijk zou dan gewoon t PV toevoegen aan mn CV.
Als FG teken je in het algemeen een geheimhoudingsverklaring. Goed begin van een sollicitatieproces als je begint met het schenden daarvan, als (voormalig) Functionaris gegevensbescherming....
En als je afgewezen wordt vanwege t naar eer en geweten uitvoeren van je job. Dan zou ik zoiets hebben van ok, dan maar straatveger. alles liever dan voor zo,n Maffia-like organizatie te werken.
Leuk theoretisch verhaal. Nu de praktijk. Meeste mensen hebben een huis, hypotheek en gezin waar het inkomen belangrijk voor is, en zo'n stap terug doen dat priveleven ernstig raakt. Ik denk dat je ernstig onderschat wat voor rol-stress een gemiddelde FG in die positie heeft.
PV= proces verbaal,Tja ik heb dan geen familie, maar wel n huis en huisdieren.En t allerbelangerijkste : Ik heb zelfrespect. En wat is de waarde van n geheimhoudingverklaring, als t bedrijf zichzelf boven de wet acht ?.Zoals ik al zei, dan liever straatveger.
AuteurTijsZonderH Nieuwscoördinator @14ReD24 januari 2024 11:46
Interesasnt om te lezen! Wat ik me nog afvroeg: als de AP vraagt naar budgetten, waar doelen ze dan op? Welk budget krijg je (ongeveer) en wat doe je daarmee? Trainingen volgen, of juist opzetten voor het bedrijf? Externe bureaus inschakelen?
De exacte vraagstelling in deze enquete weet ik niet meer, maar het was iets in de trend van; "is er uberhaupt een budget aanwezig." Voor mij is deze er gelukkig, mede omdat ik voor 2024 medio 2023 al een AVG 2024 plan gemaakt, met daarin een budgetverzoek.

Aanvankelijk met trainingen voor key users, periodieke overleggen met een externbureau en de kosten voor uitvoeren van een DPIA voor een enkele applicatie door dat externe bureau. Gezien de financieele situatie is dat uitgekleed naar de DPIA en periodieke overleggen. De trainingen zullen (wederom) door mij worden verzorgd. Qua bedrag voor de totale begroting moet je dan denken aan een €8000. Als ik ook de trainingen erbij kreeg zou dat een €12.000 zijn.
Daar zet ik tegenover dat veel van die FG's in mijn ervaring ook onredelijke privacy fanaten zijn die mijn werk als ontwikkelaar onmogelijk maken.
De applicaties en datastromen moeten van alles opleveren aan bedrijfsinformatie, maar ik mag er geen bedrijfsinformatie voor raadplegen. Tot op het niveau waar een lijst van personeelsleden niet meer de namen van personeelsleden mag bevatten. Alsof je als werkgever niet mag weten wie er voor je werkt.
Als FG's serieus genomen willen worden, moeten ze ook de functionele en praktische zaken in het oog houden.

Maar voor dat we hij zegt, zij zegt gaan. Het hoort een samenwerking te zijn. Een redelijke FG is mogelijk denk ik, net als een redelijke developer.

Ik zou graag zien wat de uitkomsten zijn als een soortgelijke enquite aan de mensen die moeten omgaan met een FG word voorgelegd. Nu is het een eenzijdig verhaal en dat heeft weinig waarde bij mij. Er kunnen goede redenen zijn waarom zoveel FG's genegeerd worden die niets met privacy willen schenden te maken hebben.

Privacy is belangrijk, maar moet in balans zijn met de werkelijkheid en functionele noodzaak. In je werk heb je als medewerker ook minder privacy dan thuis.
Dat is ook een lekkere combi: IT manager en FG.
Het probleem is natuurlijk het hele model. Hoe kun je als FG onafhankelijk je werk doen, als de werkgever over jou salaris en toekomstontwikkeling gaat? Hier zit in de basis de belangenverstrengeling en het risico al op een vorm van corruptie.

Daarnaast is het een lastig onderwerp voor veel medewerkers. Kijk eens hoeveel wetten en regels er zijn, en zodra je internationaal gaat hoeveel variaties er op al die regels zijn. Ieder mens hoort de wet te kennen, maar zelfs mensen die een juridische opleiding volgen eindigen op met een of enkele specialisaties.

En dan heb je nog de vertaling van die wet en regelgeving in de uitvoering van het bedrijf. Net als dat mensen ervoor kiezen om in sommige gevallen harder te rijden dan de maximumsnelheid of over te steken bij een rood licht, ondanks de mogelijke boete, zo doen bedrijven dat ook.
Als jij als bedrijf budget hebt om 100.000 Euro uit te geven om je bedrijf te doen groeien door een extra sales medewerker aan te nemen, of dat geld uit te geven om een privacy project te doen waarmee je een boete van 10% van je bedrijfsomzet mee riskeert, wat doe je dan?
Net als dat een startup begint uit een garage die koud is in de winter en bloedheet in de zomer, zijn zaken als privacy ook investeringen die je afweegt tegen de groei van je bedrijf. Tot je klanten het eisen van je omdat ze anders niet tekenen. En daar zie je dan ook steeds meer regelgeving vanuit de overheid zich op richten. Zet druk op hele grote bedrijven om hun leveranciersketens onder controle te brengen. De nieuwste iteratie van die regelgeving die er aan komt is bijvoorbeeld de NIS2, en daarachter komt de Cyber Resilience Act eraan, en daarachter zal ook alweer de volgende regelgeving in de maak zijn ergens.
Als jij als bedrijf budget hebt om 100.000 Euro uit te geven om je bedrijf te doen groeien door een extra sales medewerker aan te nemen, of dat geld uit te geven om een privacy project te doen waarmee je een boete van 10% van je bedrijfsomzet mee riskeert, wat doe je dan?
Als je denkt dat de boete eenmalig is zonder verdere verplichtingen, dan de laatste natuurlijk. Als je denkt dat de pakkans nihil is, dan de laatste natuurljik. Als je denkt dat slechte publiciteit ook publiciteit is, dan de laatste natuurlijk. Als je denkt dat het je klanten worst zal zijn, dan de laatste natuurlijk.
Alleen zie ik daar niet snel een oplossing voor. Je zou het kunnen uitbesteden aan externe partijen, maar je weet direct dat heel wat bedrijven dan op zoek gaan naar een partij die hen alsnog de minste last bezorgt voor de laagste prijs.

Overheidsinstanties dan maar die onafhankelijk hun werk kunnen doen, zonder druk, en niet betaald door de bedrijven? Maar wat gaat dat de belastingbetaler dan weer kosten? En gaan vele mensen niet zeggen dat dat geld beter besteed kan worden?
Die oplossing is er ook niet, en de FG als onafhankelijk bestaat dan ook niet. En zolang je met die bril ernaar kijkt, is een FG echt wel nuttig om in ieder geval de kennis te brengen en zaken proberen te beïnvloeden. Maar dat betekent ook effectief dat die FG charismatische trekjes moet hebben om politiek te bedrijven.
In Nederland stuurde de Autoriteit Persoonsgegevens de vragenlijst naar 12.675 FG's, waarvan er zo'n 950 reageerden.
Dat is toch wel weinig! Als FG ben je eigenlijk de voorpost van de AP, en in de praktijk heb je dan bij de meeste bedrijven toch zelden of nooit contact met de AP, het minste dat je dan kan doen is reageren op zo'n vragenlijst lijkt mij?
Er zijn FG die vinden dat het insturen van de antwoorden op hun vragenlijst hun wettelijke geheimhoudingsplicht zou schenden. Er zijn ook FG's die per organisatie maximaal enkele uren per maand hebben. Dat is al te weinig tijd om hun werk te doen, laat staan om er nog zoiets bij te doen. Dan zijn er mogelijk nog FG's die liever niet laten blijken dat er zaken niet op orde zijn en dus niet reageren (of een beetje jokken als ze wel reageren). Dan zijn er ook nog FG's die uberhaubt hun mail niet lezen om verschillende redenen (die ben ik beangstigend vaak tegengekomen in de praktijk). Zo zullen er nog wel meer redenen zijn waarom FG's hier bewust of onbewust niet aan meewerken.
Of FG'ers die er alleen zitten als bij-functie voor het geld.

Maar goed, het zou misschien goed zijn om wettelijk vast te leggen dat ze een basis rapportage moeten insturen naar een bepaalde instantie, zoals de AP.

Er zijn meerdere instanties die immers verplicht gegevens moeten insturen naar de overheid voor rapportage- en statistiek doeleinden.
Zoals bijvoorbeeld de "Verplichte CBS-vragenlijst".
Ik zou voorstellen om te beginnen met het handhaven van bestaande wetgeving voordat er nieuwe wetten nodig zijn. Een verplichte rapportage is een behoorlijk zwaardere last voor degenen die het goed doen en bij gebrek aan vertrouwen in de kwaliteit en onafhankelijkheid van FG's is handhaving op basis van zelfrapportages misschien niet het meest betrouwbare middel.
Last? Dat kan toch best een jaarlijkse vragenlijst zijn, met 10 of 20 vragen?

Lijkt mij een prima startpunt voor de AP als munitie naar de overheid.
Dat was niet mijn belangrijkste argument. Maar ja: dat soort vragen zijn doorgaans meer werk (relatief dus) voor degenen die het eerlijk en zorgvuldig willen beantwoorden. En dat telt op voor de FG's die voor een handjevol uur per maand bij een boel organisaties FG zijn.
Als je balgnrijkste argument de anonimiteit was dan was die wat onderbelicht.

In dat geval denk ik juist dat het nog vele malen belangrijker is om het te verplichtten! Al dat onder het tapijt vegen moet maar eens stoppen. En hoe meer druk er op bedrijven ligt om zaken netjes te regelen hoe beter. En dat mag van alle kanten komen.
Zelfrapportages zijn over het algemeen geen betrouwbaar middel om problemen met zaken als belangenverstrengeling, integriteit of deskundigheid te ontdekken. Daarbovenop is het vaak een zwaardere last voor degenen die het relatief goed proberen te doen.
Misschien hadden ze geen tijd/budget om erop te reageren :)

Flauw natuurlijk, maar dat zie ik wel in de praktijk. Ik werk veel samen met FG’s als security consultant. De meeste FG’s doen het er maar bij naast hun gewone werkzaamheden. Veel hebben helemaal geen juridische achtergrond of hebben slechts een cursus of 2 gevolgd. Daarnaast zie ik vaak een belangenverstrengeling bij bedrijven als het gaat om FG’s.

Mooi en nobel idee, maar de praktijk doet anders blijken.
Het niet meewerken aan onderzoek van een toezichthouder op wetgeving lijkt me zeer ongewenst. Het kan mogelijk zelfs strafbaar zijn. Bij inspectie van voedselvoorziening en arbeidsvoorziening moet je het als bedrijf ook niet in het hoofd halen om dat te negeren. En zelfs cijfers voor het CBS kan je niet zomaar weigeren aan te leveren.

Aan de andere kant, als informatieverzoeken in het algemeen al niet makkelijk bij een FG komen dan valt waarschijnlijk ook te verwachten dat bedrijven dit soort verzoeken niet op de juiste plaats laten belanden. Bijvoorbeeld omdat de gegevens over de huidige FH verouderd zijn of dat men als bedrijf hoe dan ook weinig serieus is met wettelijke verplichtingen.
Wat het een onderzoek of een losse enquete? De halve wereld stuurt enquetes ook toezichthouders en een gewone losse enquete kan je gewoon negeren.
Als ze er een officieel onderzoek met vragenlijst van maken word het anders. Maar was het een officieel onderzoek? Of was het gewoon en losse peiling.
Een toezichthouder die formeel vragen stelt doet onderzoek. Ongeacht welke vorm, het valt niet zomaar af te doen als onbelangrijk als een toezichthouder vragen stelt. Dat andere organisaties of bedrijven ook vragen kunnen stellen doet daar weinig aan af. Het zou eerder een gemakzuchtig excuus zijn zonder enige blijk van interesse wat de taken van een toezichthouder zijn. En dat is nu precies waarom een toezichthouder formeel vragen stelt aan aangewezen FG. Het valt onder de taken dat serieus te nemen, niet zomaar te negeren.
Je voegt een interessant woord toe: "formeel". Een toezichthouder kan ook informeel informeren. Ik kan uit het artikel zo vlug niet opmaken welke het is. En de ene kan je prima negeren en de andere niet.
Het informeel informeren is geen duidelijke taak van de toezichthouder. Dat is het formeel onderzoek doen wel. En aangezien personen die FG zijn voor formele taken bestaan, tot zelfs daarvoor bekend gemaakt zijn bij de toezichthouder, kan het dus ook niet zomaar zijn dat een toezichthouder een FG dus vooral maar voor een informeel doel gebruikt. Zeker niet als het onderzoek duidelijk bedoeld is om als toezichthouders formele conclussies te trekken. Het uitgangspunt lijkt me dus dat een FG aanneemt dat het een formeel onderzoek is voor een formeel doel, niet zomaar een informeel onderzoek.

[Reactie gewijzigd door kodak op 24 juli 2024 08:53]

Het informeel informeren is geen duidelijke taak van de toezichthouder.
Naar het toilet gaan is ook niet beschreven in een taken pakket, wil niet zeggen dat ze het niet doen.
De discussie is of het redelijk is om aan te nemen dat een onderzoek van de toezichthouder formeel en dus belangrijk is voor het toezicht en handhaven. Het toezicht is in principe een constante taak, dus als je namens te toezichthouder vragen krijgt is het niet redelijk om zomaar aan te nemen dat beantwoorden niet belangrijk is. Zeker niet als het schriftelijke vragen zijn en zelfs gericht aan de FG (de toezichthouder binnen een bedrijf). Ik waag zelfs te betwijfelen dat als een toezichthouder dit soort gerichte vragen over het functioneren stelt het gebracht kan worden alsof het informeel of vrijblijvend is, juist omdat het toezicht geen vrijblijvende wettelijke taak is.
Waarom zou je als het niet verplicht is te reageren, je er geen voordeel bij hebt het in te vullen maar het wel tijd kost en mogelijk zelfs aandacht trekt naar je werkgever?
Maar een FG'er kan hier prima voordeel uit halen. Als er misstanden aan het licht komen door deze vragen, kan er vervolgens actie ondernomen worden om die misstanden aan te pakken. Daarnaast help je er anderen mee, wat een voordeel op zich is. (sociale relaties enzo...)

Daarnaast is de rest van de houding die je hier presenteert erg contra-productief. Waarom iets doen terwijl het niet verplicht is? Omdat er veel (indirecte) voordelen uit voort kunnen komen zoals dat mensen je niet waardeloos gaan vinden.

Ook vind ik het raar om te zien dat aandacht voor je werkgever slecht zou zijn? Als die aandacht komt vanuit de AP, dan lijkt me dat gewoon nodig. En hier in Nederland wordt je niet zo snel ontslagen voor dat soort dingen. We zijn geen VS waar je op staande voet voor van alles ontslagen kan worden.
Daarnaast is de rest van de houding die je hier presenteert erg contra-productief. Waarom iets doen terwijl het niet verplicht is? Omdat er veel (indirecte) voordelen uit voort kunnen komen zoals dat mensen je niet waardeloos gaan vinden.
Als je je waardeloos voelt op de werkvloer zijn er betere dingen om te doen dan enquetes van het AP in te vullen.
Ben zeker niet tegen de rol van FGer maar snap ook wel dat het feitelijk een baan die noodzakelijk is gemaakt door vergaande privacywetgeving en dat niet ieder bedrijf op die kostenpost zat te wachten.
Je weet het verschil niet tussen A: waardeloos gevonden worden door anderen, en B: jezelf waardeloos vinden op de werkvloer?

Ik zou zeggen, lees mijn post nog eens door om te kijken wat ik schreef.
Weet niet of het hier slechter is als in het buitenland. Denk dat ze hier opener naar buiten zijn dan in het buitenland. Ook vraag ik me af in hoeverre de klachten niet door zelf intern aan de bel te trekken verminderd kan worden. Als 1 op 5 nergens bij betrokken is/wordt moeten ze een lijst maken van allen die betrokken zijn bij privacy en bestuurders bombarderen met meetings en emails.
Ook vraag ik me af in hoeverre de klachten niet door zelf intern aan de bel te trekken verminderd kan worden. Als 1 op 5 nergens bij betrokken is/wordt moeten ze een lijst maken van allen die betrokken zijn bij privacy en bestuurders bombarderen met meetings en emails.
Uit de verhalen die ik van oud-FG's meekrijg is dat veel directies en bestuurders de rol van de FG gewoon niet snappen. Ze snappen niet dat die FG soms echt een interne toezichthouder is, een verlengstuk van de AP, die bestuurders moet waarschuwen dat er een serieuze liability ontstaat en ze bewust moeten gaan ingrijpen. Veel FG's lopen daardoor achter de feiten aan omdat er besluiten genomen worden waar ze eigenlijk proactief betrokken zouden moeten zijn.
Klopt ook. In een vorige ( weliswaar andere ) functie, moest ik ook stampij maken. Tegen een van de directeuren en een Duitse Bestuurslid toch even tanden laten zien ( wereld wijd bedrijf ). In het begin zal het niet zo gewaardeerd zijn, later duidelijk wel. Laat ook ruggengraat zien. Dus FG's, effe doorbijten.
FG zijn naast je 'gewone' functie is in een heel groot deel van de gevallen al genoeg om te concluderen dat de FG-functie niet goed is ingericht binnen de organisatie. Je bent de interne onafhankelijk toezichthouder en om dat goed te kunnen doen heb je voldoende tijd nodig, kennis van de organisatie en de privacywetgeving en deze op peil kunnen houden, en een onafhankelijke positie. En er mag nog niet de schijn zijn van belangenverstrengeling.

En dat maar 7,5% reageert, moet de AP zorgen baren. Op basis van wat ik de afgelopen jaren heb gezien, denk ik het beeld op basis van de reacties van die 7,5% positiever is dan het 100% beeld zou zijn.
Mijn eerste gedachten was het met je mening eens te zijn. Maar veel bedrijven zijn niet heel groot, terwijl er ook niet zomaar genoeg werk lijkt te zijn om één medewerker alleen hier maar voor in dienst te hebben en deze toch genoeg kennis en mogelijkheden binnen een bedrijf heeft. Het lijkt me dus te kort door de bocht om te doe alsof voldoende onafhankelijkheid en inspraak vooral het probleem is van meerdere taken hebben.

Daarbij staat de wet toe dat iemand meer taken heeft. Dat is niet omdat onafhankelijkheid ongewenst is, eerder omdat onafhankelijkheid en de taken uit kunnen voeren gaat om verantwoordelijkheid nemen die bij een bedrijf past.

Het onderzoek toont dat het nemen van de verantwoordelijkheid niet zomaar lukt. Maar daar valt niet zomaar uit te concluderen dat het dus maar voor een groot deel ligt aan het hebben van meer taken. Dus hoe dan ook maar betwijfelen alsof het hierop mis gaat zonder aan te tonen waar het uit blijkt en zonder rekening te houden met andere mogelijkheden is veel te makkelijk. Al ben ik het met je eens als je zou stellen dat dit een oorzaak kan zijn. Maar laat de toezichthouders eerst maar eens aantonen wat de oorzaken lijken te zijn, wat men nmm eigenlijk al had moeten doen. Er is immers al jaren gewaarschuwd dat zelfregulering niet zomaar werkt en gebrek aan toezicht niet zorgt voor verbetering. Ongeacht of het door dubbele taken komt of (zoals een van de FG-tweakers omschrijft) het hoe dan ook niet zo bezig zijn met de wet naleven.
En dat maar 7,5% reageert, moet de AP zorgen baren. Op basis van wat ik de afgelopen jaren heb gezien, denk ik het beeld op basis van de reacties van die 7,5% positiever is dan het 100% beeld zou zijn.
Mijn ervaring met enquete is typisch andersom, ongeacht onderwerp, de enigen die reageren zijn de personen die wat te klagen hebben. Als 7,5% reageert kan de rest ook prima tevreden zijn.

En vergeet niet dat er genoeg kleine bedrijfjes zijn die gegevens verwerken. Je grens voor gegevensverwerking is nog al laag. En als je bedrijf een ZZP ding is of twee man en een paardenkop gaat FG nooit een volledige functie zijn. Als je een beetje goed nadenkt en privacy in acht neemt is een fulltime controlleur pure tijd en geld verspilling in een klein bedrijf.
Gat in de markt om als FG op te treden voor MKB en ZZP'ers.
Dat gat zal vast wel gevuld zijn door dure mensen wat mij weer terugbrengt bij mijn punt dat fulltime fg voor mkb en klein bedrijf/zzp gewon niet altijd praktisch of betaalbaar is.
Dat was toch ook de hele bedoeling bij de opzet van de AVG.

Afhankelijke toezichthouders kunnen het werk nooit integer uitvoeren, want dan worden ze kort daarna bij het uwv in de marge gedrukt.

En onafhankelijke toezichthouders kunnen dat alleen als ze in staat zijn te onderzoeken, handhaven en sanctioneren....iets waar zowel onze overheid als het bedrijfsleven begint te spartelen en er veelal voor zorgt dat er niet voldoende geld is voor die taken.
De meeste zullen die functie naast hun andere werk doen omdat er wellicht niet genoeg werk is om iemand full-time daarvoor in te zetten.
Bedrijven onderschatten de functionaliteit van de FG teveel. Daarnaast is de AVG maar lastig en vervelend en is bij voorbaat een onder geschoven kindje, waar men zo min mogelijk aandacht aan schenkt. Omdat het vervolgens ook op IT gebied raakvlakken heeft (datalekken o.a.) wordt het ook vaak als een IT dingetje gezien. Drie keer raden wie tot FG gebombardeerd wordt? De IT-manager en niet een persoon die gedegen geïnformeerd is over de (AVG-)materie.
Zelfs een loodgieter verwerkt persoonsgegevens. Denk je nou echt dat een zzp/mkb bedrijfje een full time FG gaat hebben? AVG is niet alleen voor IT bedrijven en veel bedrijven hebben geen IT manager.
Ik denk dat ze nog al onrealistisch hoge verwachtingen hebben op het gebied van FG.
Zelfs het MKB weet dat hun gegevens veilig moeten zijn en dat ze er netjes mee om moeten gaan. Maar een fulltimer met alle cursussen? Dat is gewoon niet realistisch. Ze wijzen gewoon de secretaresse aan en daarmee klaar. En eerlijk gezegd kan ik dat prima begrijpen.
Ik denk ook zeker niet dat een ZZP of MKB (afhankelijk van de grootte) een FG in dienst heeft. Bij het MKB is het vaak gewoon een neven functie van iemand die er al werkt. Volgens mij is voor (te) kleine bedrijven een FG niet eens verplicht:
Het aanstellen van een FG is in de volgende gevallen verplicht:

Je organisatie is een overheidsorganisatie;
Je organisatie observeert regelmatig en stelselmatig en op grote schaal personen (bijvoorbeeld cameratoezicht in winkelcentra);
Je organisatie verwerkt op grote schaal bijzondere persoonsgegevens of strafrechtelijke gegevens.
Bron

Je kunt je daarbij dus afvragen wat 'op grote schaal' inhoudt.
Een bedrijf met een heel klein personeelsbestand kan op heel grote schaal werken. Dat is juist wat automatisering mogelijk maakt. Als de kosten door automatisering ook heel laag zijn. Dan kan het voor kleine bedrijven met grote bereik nog steeds onrendabel zijn om een fulltime FG te hebben die niets anders doet.

Ik denk dat jou bron niets zegt over het personeelsbestand van het bedrijf, alleen de schaal van verwerking. Dus ik kan daar niet uit opmaken of voor het mkb of zzp een fg wel of niet verplicht is. Maar ik zou denken dat het meer afhangt van hoeveel en welke soort gegevens je verwerkt en dat strookt met jou quote.
Het punt is juist dat door druk vanuit de organisatie, de FG zijn werk niet correct en conform de Wet kan uitvoeren. De FG wilt dus wel, maar wordt overruled. Daardoor kan een FG zijn werk niet onafhankelijk doen. Bedrijven hebben niet echt een idee wat de impact is van de AVG, maar zijn wel geschrokken van de boete bedragen. Dus men doet het minimaal nodige, maar een goede gedegen kennis van de inhoud en wat het allemaal omvat, heeft nagenoeg geen enkel bedrijf.

[Reactie gewijzigd door CH4OS op 24 juli 2024 08:53]

Wie wil er nu een functie waarin je voor vanalles verantwoordelijk bent maar verder geen enkel mandaat hebt en/of als vervelend wordt gezien? Mij zou het vooral stress opleveren.

Ik zou nog meer geld vragen, of waarschijnlijker, een andere baan zoeken.
Dat is juist het probleem: bedrijven springen niet goed om met de wettelijk verplichte Functionaris Gegevensbescherming. De FG zou dat mandaat dus wel moeten hebben, maar doordat bedrijven de AVG vooral als lastig ervaren en er te weinig van weten werkt men vooral als een kip zonder kop en wordt de FG vooral overruled.

Doordat de FG een ondergeschoven kindje is, wordt het vervolgens bij iemand (meestal van de IT afdeling) geparkeerd, het wordt dan dus een soort neven functie van een reeds actieve medewerker die dus primair ook andere verantwoordelijkheden heeft.

[Reactie gewijzigd door CH4OS op 24 juli 2024 08:53]

andersom is ook vaak genoeg waar, een FG die "alles" van privacy weet, maar niets begrijpt van het vak dat het bedrijf uitvoert. Loodgieter, timmerman of IT of wat dan ook. En dan krijg je onpraktische en onrealistische eisen van een privacy "fanaat" . Vind je gek dat ze overruled worden. Ik niet.

Het is een enorme spagaat soms. Goed personeel met brede kennis op meerdere vlakken is moeilijk genoeg te vinden en die gaan vaak geen FG spelen, want die kunnen een betere baan vinden..

Op dit item kan niet meer gereageerd worden.