Positie FG: inzichten en aanbevelingen
Om de samenwerking en handhaving tussen toezichthoudende autoriteiten te verbeteren, besloot de European Data Protection Board (EDPB) om in 2020 een Coordinated Enforcement Framework (CEF) op te zetten. Eén van de doelen van het CEF is het gezamenlijk uitvoeren van onderzoeken door diverse toezichthoudende autoriteiten. Zo onderzochten 25 toezichthoudende autoriteiten binnen de Europese Economische Ruimte (EER) de rol van de functionaris gegevensbescherming (FG).
Dit artikel vat de inzichten en aanbevelingen uit genoemde onderzoeken samen, waarbij specifieke aandacht wordt besteed aan ontoereikende toewijzing van middelen, gebrek aan expertise en training, en potentiële risico's op belangenconflicten.
Inzichten en aanbevelingen
1. Geen FG aangesteld, ondanks wettelijke verplichting
- Meer inspanningen van toezichthoudende autoriteiten kunnen organisaties bewuster maken van hun verplichting om een FG aan te stellen en duidelijkheid verschaffen over of een FG daadwerkelijk nodig is.
- Als een organisatie geen FG heeft, zelfs als dat moet volgens de wet, kunnen toezichthouders dit aanpakken door meer begeleiding te geven, bewustmakingscampagnes te voeren en strenger te handhaven.
2. Onvoldoende middelen toegewezen aan de FG
- Meer betrokkenheid van toezichthoudende autoriteiten en een betere analyse van de benodigde middelen door organisaties is nodig.
- Een verwerkingsverantwoordelijke moet zorgen dat de FG voldoende tijd en capaciteit heeft om zijn taken uit te voeren.
- Richtlijnen en trainingsmateriaal kunnen de FG helpen bij ingewikkelde problemen en het besparen van tijd.
3. Onvoldoende training en expertise van de FG
- Toezichthoudende autoriteiten en/of de EDPB kunnen begeleiding en trainingsessies voor FG’s aanbieden.
- Verwerkingsverantwoordelijken en verwerkers moeten de kennis- en trainingsbehoeften van hun organisaties vastleggen.
- FG’s moeten voldoende kansen, tijd en middelen krijgen om hun kennis bij te werken (bijvoorbeeld over nieuwe EU-wetgeving met betrekking tot digitale en AI-gerelateerde zaken).
4. FG is niet volledig of expliciet belast met de vereiste taken
- Toezichthouders kunnen verwerkingsverantwoordelijken en verwerkers aanmoedigen om duidelijk onderscheid te maken tussen hun verantwoordelijkheden en die van de FG.
- Het bevorderen van de rol van de FG binnen organisaties, het bevorderen van samenwerking tussen verwerkingsverantwoordelijken en hun FG’s en het opnemen van FG’s in processen van toezichthoudende autoriteiten wordt ook aanbevolen.
- Alle belanghebbenden worden aangemoedigd om de rol van de FG te ondersteunen en initiatieven te bevorderen om de onafhankelijkheid van FG’s te waarborgen.
- Verwerkingsverantwoordelijken en verwerkers moeten blijven evalueren en werken aan het betrekken van de FG binnen hun organisatie.
5. Gebrek aan onafhankelijkheid bij de FG
- De onderzoeksresultaten laten zien dat er meer richtlijnen nodig zijn voor FG's.
- Ook zijn er meer initiatieven nodig van toezichthoudende autoriteiten om procedures te controleren, bewustwordingscampagnes over de onafhankelijkheid van FG's, duidelijke formalisering van taken en voorwaarden voor FG's, en de mogelijkheid voor FG's om bewijs te verzamelen als hun onafhankelijkheid wordt aangetast.
6. FG rapporteert gebrekkig aan het management
- De onderzoeksresultaten laten zien dat het belangrijk is om regels en goede gewoonten aan te moedigen voor hoe de FG rapporteert. Het is ook aan te bevelen om standaardsjablonen te gebruiken voor deze rapportage en ervoor te zorgen dat de FG directe toegang heeft tot en rapporteert aan het hoogste management.