De Algemene Verordening Gegevensbescherming (AVG) heeft de aanstelling van een functionaris gegevensbescherming (FG) in bepaalde gevallen verplicht gesteld, zoals uiteengezet in artikel 37 van de AVG. Maar wat als je, volledig, absoluut hypothetisch gesproken, van je FG af wilt? Hoewel het idee op het eerste gezicht misschien aantrekkelijk lijkt, vooral als je FG je op 'pijnlijke knelpunten' wijst, is het niet zo eenvoudig — noch aan te raden. Deze blog benadert dit onderwerp met een knipoog, waarbij ik de aanstelling en rol van de FG uiteenzet, zeg waarom je FG juist van waarde is en het ontslaan een slecht idee is, en tot slot alle methodes om van die lastpost in je organisatie af te komen.
De aanstelling en rol van de FG
Een vraag die in beginsel kan rijzen wanneer we een onschendbare privacykoning(in) door de tuin van dataweelde in organisaties zien banjeren, is wat deze beste man/vrouw überhaupt doet. Laten we eerst kijken naar wanneer een FG wettelijk verplicht is. Volgens art. 37 lid 1 van de AVG moet je een FG aanstellen als je een overheidsinstantie of -orgaan bent (zoals een gemeente), als je kerntaken bestaan uit activiteiten die regelmatige en stelselmatige observatie van individuen vereisen (denk aan beveiligingsbedrijven die grootschalig camera's inzetten), of als je bijzondere categorieën van persoonsgegevens op grote schaal verwerkt (zoals ziekenhuizen). Dus een Ministerie van Datingsurveillance zou drie FG'en moeten aanstellen..? Als je in een van deze categorieën valt, is een FG geen luxe, maar een noodzaak.
De positie van de FG
Wanneer een FG binnen is gesleept, wordt deze direct op de troon geplaatst en krijgt deze de sleutels van het koninkrijk in de handen geduwd. Volgens art. 38 lid 2 AVG is een FG namelijk gerechtigd om zich toegang te verschaffen tot alle persoonsgegevens (lees: praktisch alle informatie die een bedrijf heeft). En, op grond van lid 3 uit datzelfde artikel dient de FG onafhankelijk te opereren, enkel te rapporteren aan het hoogst leidinggevende orgaan en kan deze niet ontslagen of gestraft worden voor uitvoering van zijn/haar taken. Je zou denken dat de eerste FG-dictaturen het avondnieuws al hadden gehaald.
)
De interne toezichthouder
Zodra de FG aan boord is, wordt diegene de gevangenisbewaarder interne toezichthouder op het gebied van privacy- en gegevensbeschermingswetgeving (zoals de AVG) binnen de organisatie. Art. 39 van de AVG schetst een breed scala aan verantwoordelijkheden voor de FG, variërend van het informeren en adviseren van de organisatie en haar medewerkers tot het adviseren over data protection impact assessments (DPIA's) en met de externe toezichthouder samenwerken. Mede door dat laatste punt zie ik in de praktijk nog weleens een ongegrond wantrouwen naar de FG toe. Want dat zijn toch die vervelende mensen die met de Autoriteit Persoonsgegevens (AP) samenwerken om ons te zeggen wat allemaal niet mag? Klopt helemaal. Ik kan natuurlijk niet voor iedere FG spreken, maar ik kan wel vanuit eigen ervaring zeggen dat het overgrote deel van de FG'en echt niet 's ochtends opstaat met het idee mensen het leven zuur te maken. Integendeel, ze zijn juist degenen die horen te kijken naar wat wel mogelijk is, binnen de kaders van de wet die mensen beschermen.
De waarde van de FG
Voordat ik manieren noem om van je FG af te komen, vind ik het belangrijk te benadrukken dat dit natuurlijk met een knipoog is geschreven. Ik vervul zelf ook ook regelmatig opdrachten als externe FG. Een FG is namelijk helemaal geen politieagent die alleen maar wijst op wat verboden is. Ja, dat hoort inherent af en toe bij de functie, maar een goede FG verliest niet de doelstellingen en context van zijn/haar organisatie uit het oog. Wat ik zelf heb ondervonden is dat de FG vaak als een ambassadeur voor privacy binnen een organisatie fungeert. Daardoor krijgt een goede FG ook bestuurders en medewerkers enthousiast voor privacy, juist door de waarde van gegevensbescherming en een correcte omgang met persoonsgegevens te belichten. Natuurlijk is ronduit enthousiasme regelmatig een utopie. In die gevallen is de organisatie zich dan ten minste bewust van het belang van privacy (zie hiervoor een vorige blog van mij).
)
Menig organisatie heeft namelijk vertrouwen, zorgvuldigheid of verantwoordelijkheid als kernwaarde. Wanneer dat ook echt wordt belichaamd door de organisatie, is de juiste omgang met persoonsgegevens een logische voorwaarde om die kernwaarden te verwezenlijken. Daarnaast is de FG de interne encyclopedie over alles wat met privacywetgeving te maken heeft (en met een beetje geluk ook met andere rechtsgebieden). Dat scheelt weer extra operationele mankracht. Let wel, ik pleit niet voor een FG die operationele taken uitvoert; iets wat al langere tijd als sterk onwenselijk wordt gezien door toezichthouders.
Voorgaande gaat uit van een competente FG die de functie als meer dan een simpele dienstbetrekking ziet en het minimale verricht. Daar moet je uiteraard maar net geluk mee hebben. Toch blijkt in de praktijk al veel winst te behalen door met een FG in gesprek te gaan en te vragen naar zijn of haar visie op de rol binnen de organisatie. Een open dialoog kan veel onduidelijkheden wegnemen en zorgt voor een betere samenwerking. Dit kan ook leiden tot nieuwe inzichten over hoe de organisatie haar gegevensbeschermingsstrategie kan optimaliseren.
Uiteindelijk werk je samen voor dezelfde organisatie; je staat aan dezelfde kant. Daarom zou het dus niet de vraag moeten zijn hoe je van je FG afkomt, maar eerder hoe je de samenwerking met je FG kunt optimaliseren om gezamenlijk de doelen van de organisatie te bereiken. Een FG is niet slechts een noodzakelijk kwaad om aan wettelijke verplichtingen te voldoen; het is een strategische partner die kan bijdragen aan het succes van de organisatie op meerdere fronten. En ja, dan wordt je af en toe gewezen op zaken die niet in orde zijn. Maar zou je dat als integer bestuurder niet graag willen weten? Al is het maar om eventuele financiële en reputatieschade te voorkomen.
Mocht je nou nog steeds van die belhamel van een FG af willen, lees dan de rest van deze blog goed door.
Alsnog van je FG afkomen
In principe geldt voor de FG een ontslagverbod. Toch zijn er verscheidene manieren om je FG de deur te wijzen. Hieronder benoem ik enkele opties, maar er bestaan nog meer mogelijkheden. Doordat die vooral onder het klassieke arbeidsrecht (wederzijdse instemming voor opzegging, ontslag op staande voet wegens ernstig verwijtbaar handelen, ontbinding door de kantonrechter etc.) vallen, behandel ik die hier verder niet.
De incompetente FG
De eerste mogelijkheid is om de functionaris uit zijn/haar functie te zetten doordat deze niet meer aan de eisen uit de AVG voldoet. Hierbij kan gedacht worden aan incompetentie die pas tijdens de invulling van de rol duidelijk wordt. AVG staat toch voor aardappels, vlees en groenten? Immers, de FG hoort ex art. 37 lid 5 AVG onder meer te worden aangewezen op grond van zijn/haar professionele kwaliteiten en deskundigheid van de (relevante) wetgeving. Wanneer je dan het equivalent van een schildknaap blijkt te hebben aangesteld waar je een ridder verwachtte, kan de FG uit de functie worden gezet. Dan vervalt het ontslagverbod en gelden de gewone arbeidsrechtelijke regels voor opzegging van de arbeidsovereenkomst.
De belangenverstrengelde FG
Een andere mogelijkheid waarbij het ontslagverbod vervalt, is wanneer sprake is van belangenverstrengeling. In art. 38 lid 6 AVG wordt gesteld dat een FG weliswaar andere taken en plichten mag vervullen, maar dat deze niet tot een belangenconflict mogen leiden. Dit wordt met name evident wanneer een FG ook nog een andere rol binnen een organisatie vervult. Denk bijvoorbeeld aan de dubbelrol van FG en CISO die in de beginjaren van de AVG nog regelmatig voorkwam. Hoewel de meningen verdeeld zijn over de haalbaarheid van een dergelijke dubbelrol waarbij de vereiste onafhankelijkheid blijkt geborgd, lijken de toezichthouders en rechters een dergelijke situatie de laatste tijd steeds vaker als onwenselijk te bestempelen.
Zo werd een e-commercegroep door de Berlijnse toezichthouder (de BlnBDI) een boete van €525.000 opgelegd doordat haar FG ook de algemeen directeur van twee dochterondernemingen uit het concern was. In een andere zaak werd door het Bron: HvJ EU 9 februari 2023, zaak C-453/21, X-FAB Dresden GmbH & Co. KG v FC, ECLI:EU:C:2023:79 (de hoogste federale arbeidsrechtbank) een Een prejudiciële vraag is een juridische vraag die een lagere rechter voorlegt aan een hogere rechter om duidelijkheid te krijgen over de juiste interpretatie van een bepaalde rechtsregel. Je ziet dit vaak bij nationale rechters die iets aan het Hof van Justitie vragen wanneer ze twijfelen over de uitleg van een regel. Hierdoor wordt direct een uitspraak op Europees niveau gedaan (wat dus in de hele EU relevant is) en wordt partijen tijd bespaart.} het partijen een hoop tijd scheelt , zodat de lagere rechter de lopende zaak correct kan afhandelen.aan het Hof van Justitie van de EU gesteld over wat een belangenconflict inhoudt.
Hierin werd geoordeeld dat, in het welbekende juridische riedeltje, van geval tot geval moet worden gekeken of sprake is van een belangenconflict. Wanneer de onafhankelijkheid in gevaar komt, kan dat een belangenconflict voor de FG opleveren. In de praktijk kan hier al snel sprake van zijn. Daarom zou ik altijd afraden dat een FG andere rollen vervult binnen dezelfde organisatie, tenzij de andere rol geen invloed heeft op besluitvorming (bepalen van doel en middelen) voor gegevensverwerkingen. Dit uitgangspunt wordt overigens ook door de AP gehanteerd. Hoewel ik het echt niet altijd eens ben met haar standpunten, VoetbalTV, anyone?
De externe FG
Hier kan ik kort over zijn. Voor een externe FG (art. 37 lid 6 AVG) geldt het ontslagverbod namelijk niet, doordat hier geen arbeidsovereenkomst, maar een dienstverleningsovereenkomst aan ten grondslag ligt. Daardoor is de externe niet in dienst van de organisatie en kan de dienstverleningsovereenkomst gewoon worden opgezegd (behoudens de afspraken in die overeenkomst).
)
The nuclear option: de afgestoten FG
Wil je jezelf nou écht populair maken bij de pers en je eigen medewerkers? Dan kan je nog voor de onsympathiekste optie kiezen. Je positioneert de FG dan in een bedrijfsonderdeel - een schiereiland dat enkel door de FG wordt bewoond - waarna dat deel wordt afgestoten. En het schiereiland van de landmassa wordt gesplitst en eenzaam de Atlantische Oceaan op drijft. Vervolgens kan dat onderdeel worden opgeheven, waardoor het ontslagverbod ook vervalt. Of, nog leuker, doordat het bedrijfsonderdeel een separate entiteit wordt waar verder vrijwel niets gebeurt, vervalt ook de verplichting om een FG aan te stellen. Immers, het is lastig op grote schaal bijzonders persoonsgegevens te verwerken als het bedrijf geen verwerkingsactiviteiten uitvoert.
Conclusie
In de kern is een Functionaris Gegevensbescherming (FG) veel meer dan een wettelijke verplichting; het is een strategische partner die een organisatie op diverse manieren kan versterken. Hoewel er technische routes zijn om van je FG af te komen, komen deze met eigen uitdagingen en risico's, zowel juridisch als op het gebied van reputatie.
Dus voordat je de nucleaire optie overweegt, denk dan goed na over de langetermijnimplicaties en de boodschap die je daarmee uitzendt, zowel intern als extern. Want in een tijdperk waarin gegevensbescherming en privacy steeds belangrijker worden, is een goede FG niet een last maar een lust.