Privacycolumn - Het gaat niet zo goed met de FG

Nog wat nieuws naspeurend herlas ik een bericht van de NOS uit 2018. Velen lieten zich jubelend omscholen tot Functionaris Gegevensbescherming, mooi nieuw werk gloorde aan de horizon met de komst van de AVG. De functie, die praktisch gezien allang bestond, maar door weinig organisaties ingevuld werd voor 2018, kreeg een hoog aanzien mee. Interne toezichthouder – hoeder van de privacy. Maar wat beklijft er nu eigenlijk nog van dat beeld nu we meer dan vijf jaar verder zijn?

Zelf was ik het ooit, kortstondig. In een organisatie die eigenlijk slechts een vinkje wilde zetten en de functie geen zware handen en voeten gaf. En eerlijk is eerlijk, ik vond het zelf ook niet zo geweldig – ik bouw veel liever samen met een team, ben een doener en los graag problemen op. De FG moet juist functionele afstand houden en een wakend oog vormen, issues signaleren en anderen aansturen die op te lossen. Streng, maar rechtvaardig. De rug recht tegen onrecht, een solistisch en onafhankelijk strijder. Maar die FG moet die ruimte wel krijgen. En daar gaat het in de praktijk vaak mis.

In talloze organisaties doet de FG ‘het erbij’, waarbij die vaak ook nog eens een adviserende functie heeft op het gebied van privacy en actief is in de operatie door bijvoorbeeld beleid te schrijven of te adviseren in dagelijkse casuïstiek. Dit verdraagt zich niet met de toezichthoudende functie – het zou immers de slager zijn die het eigen vlees keurt. De onafhankelijkheid is daarmee ver te zoeken. Autoriteit Persoonsgegevens is de afgelopen tijd ook veel actiever geworden in haar handhaving hierop. Verschillende organisaties hebben al een forse vermaning gekregen van de toezichthouder. En terecht ook. Je moet het verwateren en vermengen van de taken in de governance rondom privacy ook echt niet willen. Diegenen wiens gegevens worden verwerkt zijn er namelijk het slachtoffer van.

Die FG is vaak ook een dappere strijder. Want zelfs als die helemaal ‘vrijgemaakt’ wordt voor de specifieke taken die bij de functie horen, dan nog is het vaak sappelen. Zeker in grote organisaties. Niet zelden doen ze het alleen. En dat kan gewoon niet. Een FG heeft ondersteuning nodig, middelen en mensen en moet vrij hoog in de organisatie geplaatst worden om zo dicht mogelijk bij het vuur te zitten en diens invloed te kunnen uitoefenen. Gelukkig is er inmiddels wel veel aandacht voor deze benarde situatie en dankzij het ingrijpen van de AP lijkt er wat meer urgentie te komen om de FG steviger in de organisatie te verankeren. Menig mij bekend FG heeft het zwaar, soms met gezondheidsklachten tot gevolg. En dat kan toch echt niet de bedoeling zijn. Dus, doe mij een lol en breek eens een lans voor de FG in jouw organisatie. Die verdient vaak beter dan die nu krijgt. En we worden er allemaal beter van, want wie wil er nu geen goed toegeruste waakhond op de privacy?

Rachel Marbus
@RACHELMARBUS op Twitter

Deze column verscheen in iB6-2023.