Skip to main content

Toezicht houden als FG, hoe doe ik dat?

| Erna Havinga | ,

De komst van de Algemene Verordening Gegevensbescherming (AVG) bracht ook de verplichte Functionaris voor de Gegevensbescherming (FG) met zich mee. De FG is de interne toezichthouder en dus verantwoordelijk voor, de naam zegt het al, het toezicht houden op de naleving van de privacywetten en –regels en heeft ook de taak om de organisatie hierop te controleren. Maar hoe doe je dat eigenlijk, toezicht houden?

Takenpakket FG

Als gemeente ben je vanuit de AVG verplicht om een FG aan te stellen. De FG kijkt kritisch naar hoe de gemeente omgaat met persoonsgegevens en rapporteert hierover aan het college en de gemeentesecretaris. De FG heeft verschillende taken, zoals het inventariseren en bijhouden van de gegevensverwerkingen binnen de organisatie, vragen en klachten van mensen binnen én buiten de organisatie afhandelen, ondersteunen bij het ontwikkelen van interne regelingen, adviseren over privacy op maat en input leveren bij het opstellen of aanpassen van gedragscodes. Daarnaast heeft de FG, zoals in artikel 39.1.b van de wet wordt aangegeven, ook de taak opgelegd gekregen om ‘de naleving van de AVG te controleren’. In overweging 97 wordt verder gespecificeerd dat de FG ‘de verwerkingsverantwoordelijke of verwerker [moet bijstaan] bij het toezicht op de interne naleving van deze verordening’. Maar hoe ziet deze toezichthoudende rol eruit? In deze blog gaan we hier verder op in.

Toezicht houden

De rol die de FG heeft met betrekking tot de controle op de naleving van de wet bestaat hoofzakelijk uit drie taken, te weten:

1.Verzamel informatie over de gegevensverwerkingen binnen de organisatie

De AVG verplicht gemeente om al hun verwerkingen van persoonsgegevens bij te houden in een eigen register, een zogeheten verwerkingsregister. In dit register worden zaken vastgelegd zoals: het doel van de verwerkingsactiviteiten, een omschrijving van de categorieën van persoonsgegevens die je verwerkt, de categorieën ontvangers van de persoonsgegevens, de bewaartermijn van de gegevens en de technische en organisatorische maatregelen om de gegevens te beschermen et cetera. Hoe je een verwerkingsregister moet invullen, kun je lezen in onze eerdere blog. Als FG van een gemeente heb je, als het goed is, toegang tot dit verwerkingsregister. Op basis van dit register krijg je als FG een goed beeld van waar de cruciale systemen van de organisatie zich bevinden, bijvoorbeeld binnen welke processen. Het is aan te raden om als FG op basis van dit register een top 10 (of top 5) van processen en/of systemen te definiëren die een hoog risicoprofiel hebben als het gaat om privacy. Wat het risicoprofiel is van een proces of systeem kun je bepalen aan de hand van een Data Protection Impact Analysis, ook wel DPIA’s genoemd. Zijn er binnen jouw gemeente nog geen DPIA’s uitgevoerd op cruciale systemen? Dan is het aan te raden om als FG te verzoeken dat dit alsnog wordt gedaan. Dit om mogelijke privacy-risico’s goed op het netvlies te hebben. Binnenkort zullen wij nog een blog schrijven over het uitvoeren van DPIA’s.

Daarnaast kun je jaarlijks een analyse uitvoeren op het datalekkenregister en hieruit bepaalde conclusies trekken met betrekking tot de risico’s van verwerkingen. Waar hebben zich de meeste datalekken voorgedaan? Wat waren de meest voorkomende soorten datalekken? Welke maatregelen zijn hier vervolgens opgenomen en waaruit blijkt dat deze maatregelen ook effectief zijn? Et cetera.

2. Analyseer en beoordeel of de verwerkingen aan de wet voldoen.

Om te beoordelen of de verwerkingen binnen de organisatie aan de wet voldoen is het mogelijk om de top 10 die je hebt gedefinieerd van processen en/of systemen met een hoog risicoprofiel, steekproefsgewijs te toetsen. Dit kan op twee manieren. Je kunt bijvoorbeeld als FG zelf een controlelijst opstellen op basis van de AVG wetgeving, of je kunt hierbij gebruik maken van een praktisch hulpmiddel, namelijk van bestaande Privacy Control Frameworks (PCF). Een PCF geeft een overzicht van de technische en organisatorische maatregelen die genomen moeten worden en kan op die manier doorlopen worden. Zo krijg je als FG een goed beeld van wat de gemeente al gedaan heeft en wat er nog ingeregeld moet worden om aantoonbaar aan de AVG te voldoen. Uiteraard heb je als FG ook de resultaten van de uitvoerde DPIA’s, die ook goed inzicht kunnen geven in hoeverre bepaalde systemen aan de wet voldoet.

3. Geef informatie, adviezen en aanbevelingen aan de organisatie

De bovenstaande steekproeven geven je als FG een goed beeld van hoe de organisatie ervoor staat als het gaat om het naleven van de privacywetgeving. Op basis hiervan kun je de organisatie vervolgens gericht adviseren over de wijze waarop processen, waar nodig, kunnen worden verbeterd om te voldoen aan de AVG. Dit advies kan bestaan uit aanbevelingen voor nieuwe maatregelen die genomen moeten worden, of mogelijkheden om bestaande maatregelen te verbeteren.

Tot slot, en niet geheel onbelangrijk, is de positie van de FG. De FG heeft namelijk een onafhankelijke positie en is niet persoonlijk aansprakelijk wanneer er binnen zijn organisatie een overtreding van de privacywet is. Het college of de gemeentesecretaris is hierin altijd eindverantwoordelijk.

Heb je naar aanleiding van deze blog vragen of hulp nodig om op dit punt verder te komen binnen jouw gemeente? Neem dan gerust contact met ons op.

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Hoe kun je contractmanagement implementeren?

: Contractmanagement zorgt ervoor dat alle afspraken en verplichtingen in een zakelijk contract goed worden nageleefd en beheerd, vanaf het moment dat het contract wordt ondertekend tot het einde ervan. Maar wat houdt contractmanagement eigenlijk …

De rol van de lijnmanager op het gebied van privacy

In onze wereld, met alle informatietechnologie, is privacy belangrijker dan ooit. Als lijnmanager heb je een belangrijke rol om ervoor te zorgen dat iedereen zich aan de regels van de van de organisatie houdt. Maar wat houdt deze rol precies in en…

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …

Een verwerkersovereenkomst afgesloten, en dan?

Een van de belangrijkste eisen uit de AVG is dat je een verwerkersovereenkomst moet opstellen wanneer je persoonsgegevens laat verwerken door anderen. In deze blog lees je meer over wat er moet gebeuren nadat je een verwerkersovereenkomst hebt afg…

Hoe kan het 9-vlaksmodel helpen bij de implementatie van BIO-maatregelen?

Het 9-vlaksmodel van Rik Maes is een handig hulpmiddel voor informatiemanagement. Het helpt organisaties bij het begrijpen en beheren van hun informatiesystemen en -processen. Ontdek in deze blog hoe dit model ook kan helpen bij de implementatie v…

Samenhang Europese digitale wetgeving: voorbereiding voor gemeenten

Tussen nu en 2026 krijg je als gemeente te maken met maar liefst 13 nieuwe wetten die de digitale toekomst van Europa vormgeven. Deze nieuwe digitale wetten hebben veel invloed op wat gemeenten doen. Om deze gevolgen beter te begrijpen, heeft de V…