Om de kwaliteit van het privacybeleid binnen de organisatie te waarborgen, is er onderscheid nodig tussen de taken van een functionaris gegevensbescherming (FG) en die van een privacy officer. Zijn deze taken gecombineerd in één functie, dan is er sprake van belangenverstrengeling. Dit is ook een aandachtspunt voor de ondernemingsraad (OR).
Of een organisatie nu verplicht is om een FG aan te stellen of niet (vraag & antwoord), de organisatie en OR moeten rekening houden met het verschil tussen een FG en een privacy officier (vraag &antwoord). Is de FG tegelijkertijd ook de privacy officer, dan is er sprake van een dubbelrol die in de praktijk al snel onhoudbaar en onrechtmatig is. Artikel 39 van de Algemene verordening gegevensbescherming (AVG) bepaalt namelijk dat andere taken of plichten van de FG niet mogen leiden tot een belangenconflict. De FG moet zijn taken en verplichtingen onafhankelijk kunnen uitvoeren. Dat is niet mogelijk bij een combinatie van de functies. Omdat er bij de Autoriteit Persoonsgegevens (AP) vaker signalen binnenkomen dat er sprake is van belangenverstrengeling, kan het zijn dat in de toekomst meer organisaties zich hierover moeten verantwoorden bij de AP.
De FG houdt binnen de organisatie toezicht op zowel de toepassing als naleving van de AVG en is het aanspreekpunt voor de AP. Omdat de FG een onafhankelijke positie in de organisatie heeft, mag hij geen instructies ontvangen bij de uitvoering van zijn functie. Het grote verschil met een privacy officer is dat deze adviseert, ondersteunt én uitvoert. De privacy officer kan een FG bijstaan in de uitvoering van diens taken, maar kan ook zelfstandig vraagstukken afhandelen. Zijn beide functies in één gecombineerd, dan is er al snel sprake van belangenverstrengeling. Degene die het beleid vormgeeft en uitvoert, is dan immers ook degene die controleert of het beleid en de uitvoering voldoen aan de wetgeving.
De OR waakt over privacy (verdiepingsartikel) en heeft instemmingsrecht bij het privacybeleid voor zover het beleid het interne toezicht op de gegevensbescherming van de werknemers raakt (artikel 27, lid 1k van de Wet op de ondernemingsraden). De aanstelling van een functionaris gegevensbescherming en de invulling van die functie, kan onderdeel zijn van dit privacybeleid en invloed hebben op de uitvoering daarvan. Aan het aanstellen of aanwijzen van een FG gaan immers keuzes vooraf over zaken zoals (de grootte van) het takenpakket en bevoegdheden. Het is daarbij dus van belang dat de OR waakt voor eventuele belangenverstrengeling.
Om belangenverstrengeling te voorkomen, kan de OR aangeven dat er zowel een FG als een privacy officier aangesteld moet zijn. De bestuurder kan ervoor kiezen om beide functies intern in te vullen, maar deels uitbesteden is ook een optie. Zo kan hij bijvoorbeeld naast een interne privacy officer, een externe FG inhuren die onafhankelijk toezicht houdt op de naleving van de AVG. Andersom kan ook. Dan is er een interne FG en huurt de bestuurder een externe privacy officer in om de uitvoering van het privacybeleid op zich te nemen.
Meer informatie over de Algemene verordening gegevensbescherming (AVG) vindt u in de toolbox Voldoe aan de privacyregels van de AVG in 9 stappen.