Eerste Hulp bij FG formatie: gemeente editie (1/2)

4 juli 2024 / in Nieuws / door Famke Algera

De AP legde vorig jaar een boete van 30.000 euro op aan de gemeente Voorschoten, omdat het afvaldata van bewoners te lang bewaarde. Ook intensiveerde ze het toezicht op de gemeente Eindhoven, omdat die gemeente de privacyorganisatie niet op orde zou hebben. De omgang met gegevens van burgers bij gemeenten ligt dus onder de loep. Dat is niet gek, want gemeenten verwerken persoonsgegevens op grote schaal. Hoog tijd om te investeren in sterker toezicht op de naleving van de AVG binnen de gemeentelijke organisatie. Maar waar te beginnen?

Dit is een vraag die, zelfs zes jaar na inwerkingtreding van de AVG, nog steeds bij sommige gemeenten speelt. Een goed begin is om de juiste mensen in te schakelen. Een sleutelfiguur daarin is de Functionaris Gegevensbescherming (FG). Op grond van artikel 37 van de AVG is het aanstellen van een Functionaris Gegevensbescherming verplicht voor overheidsinstanties en publieke organisaties. Maar veel gemeenten schieten in die verplichting (capacitair) tekort. Dat komt omdat het lastig is om te bepalen hoeveel tijd de FG nodig heeft en waar hij het beste in de organisatie kan worden geplaatst. Wat is de ideale FG formatie? In de komende twee artikelen zal worden gezocht naar aanknopingspunten om deze vragen te beantwoorden.

Omvang gemeente

Het zou makkelijk zijn als de formatie kon worden geschat op basis van de omvang van een gemeente; maar helaas laat deze zich niet raden met een simpel rekensommetje. Uit landelijk onderzoek[1] blijkt dat de FG formatie niet mee schaalt met het aantal inwoners. Sterker nog, middelgrote gemeenten lijken vaak een grotere formatie (gemiddeld 0,8 fte) te hebben dan grote gemeenten (die trekken gemiddeld slechts 0,5 fte uit). En terwijl Veiligheidsregio’s en SSC’s[2] veel meer inwoners hebben, hebben zij gemiddeld niet meer FG formatie.

Dat is niet verwonderlijk; een groter inwoneraantal hoeft niet per se te betekenen dat de FG een groter takenpakket krijgt.

In feite blijven de taken van de FG bij iedere gemeente gelijk. In het kort bestaan zijn taken uit[3] (i)het adviseren over en toezicht houden op de naleving van privacywetgeving, (ii)adviseren over de uitvoering van DPIA’s, (iii)toewijzing van verantwoordelijkheden binnen de organisatie wanneer het gaat om gegevensbescherming, (iv)bewustmaken en opleiden van medewerkers, en (v)het samenwerken met de AP.

Taakomvatting

Hier ligt dan ook meteen een tweede complicatie: hoewel bovenstaande taken wettelijk zijn vastgelegd, varieert de invulling van deze taken per gemeente. Naast het wettelijke takenpakket kan de FG aanvullende taken hebben zoals het bijhouden van een verwerkingsregister en het adviseren bij datalekken. In een poging de taakomvatting van de FG bij de gemeente duidelijk(er) in kaart te brengen, schreven de IBD voor gemeenten[4] en de VNG[5] handreikingen over dit onderwerp. Ook de AP[6] en de EDPB[7] publiceerden adviezen over de taakomvatting van de FG.

Hoewel bij een grote gemeente de FG dus strikt genomen niet meer taken krijgt, is wel voor te stellen dat de invulling van zijn taken tijdrovender is. De gegevensverwerking die bij grote gemeenten plaatsvindt is immers grootschaliger. Daarnaast zijn er vaak voorzieningen waarbij met gevoelige gegevens wordt gewerkt (denk aan een Veiligheidshuis). Scherp toezicht op de omgang met deze gegevens is dan extra belangrijk.

Het FG-schap kan bij grote gemeenten meer tijd kosten omdat de FG zijn aandacht moet verdelen over verschillende uitvoeringsdomeinen en de verschillen daartussen groot zijn. Bij de domeinen Jeugd en Sociale Zaken vechten privacywetgeving en zorg voor de burger vaak om aandacht. Complexe zaken zoals ondermijning en smart-city toepassingen brengen lastige afwegingen met zich mee. De FG zal zich moeten verdiepen in de werkzaamheden van alle afdelingen.

Inrichting privacyorganisatie

Een laatste- maar niet uit te vlakken- peiler voor de FG inzet is het privacy volwassenheidsniveau van de gemeente. Staat er al een privacy organisatie? Is de privacygovernance op orde? Zijn er processen opgetuigd? Dit kan een groot verschil maken in de tijdsbesteding van de FG. Een advies op een DPIA kost niet alleen tijd voor het schrijven van het advies, maar vergt ook dat de betrokken afdeling wordt voorgelicht over de verplichtingen op grond van de AVG. Wanneer niemand anders dat kan doen en er binnen de afdelingen weinig bewustzijn heerst op het gebied van privacy, kan dit nogal een opgave zijn.

Bij een lage volwassenheid:

  • Moet er veel worden gedaan aan voorlichting en bewustwording,
  • Is de advisering bij de totstandkoming van DPIA’s intensiever, en
  • Is er een groot risico dat de FG uitvoerende taken gaat overnemen.

Bij een hogere mate van volwassenheid:

  • Blijft bewustwording en voorlichting een taak, maar deze is beter te beleggen in de organisatie, en
  • Zijn er grotere aantallen DPIA’s, updates, bijstellingen en aanpassingen.

Met name het bevorderen van kennis en bewustzijn binnen alle afdelingen van de gemeente is tijdrovend. Idealiter hebben alle medewerkers die met persoonsgegevens werken voldoende kennis van het privacyrecht en zijn ze bekend met de beginselen en vereisten ten aanzien van de rechten van betrokkenen, het verwerkingsregister, DPIA’s en datalekken. Wanneer het volwassenheidsniveau van de gemeente laag is, zal dit een aanzienlijk deel van de FG inzet vormen.

Tot slot

De taken van de FG zijn uitgebreid omschreven, maar de uitvoering van die taken brengt werkzaamheden met zich mee waarvoor de tijdsbesteding niet goed voorspelbaar is. Om een inschatting te maken van de benodigde FG formatie zou (i)omvang, (ii)taakomvatting en (iii)het privacy volwassenheidsniveau van een gemeente als uitgangspunt kunnen dienen. In de volgende editie van deze serie wordt uitgelicht hoe grote en middelgrote gemeenten hun privacy organisatie hebben ingericht. Voor een aantal gemeenten zal een antwoord worden gezocht op vragen als: wat is de totale formatie van de FG? Bij welke afdeling is deze ondergebracht? Op welke manier worden Privacy Officers ingezet? Zijn er nog andere rollen die ondersteunend dienen aan de FG?

 

[1] Onderzoek naar de formatie FG onder onder 39 gemeenten, 5 veiligheidsregio’s en 5 SSC’s door M&I Partners: https://mxi.nl/kennis/571/de-formatie-van-de-functionaris-gegevensbescherming.

[2] Bij een Shared service center (Ssc) worden de krachten van de ambtelijke organisaties gebundeld binnen één nieuwe organisatie, om opdrachten uit te voeren voor verschillende autonome gemeentebesturen

[3] Artikel 39, lid 1, AVG en artikel 36, lid 3, Wpg

[4] Handreiking positionering en taken van de FG, Informatiebeveiligingsdienst voor gemeenten, https://vng.nl/files/vng/20170301-handreiking-rol-taken-vanfg.pdf

[5] Rol en taken van de FG, Vereniging Nederlandse Gemeenten, https://vng.nl/files/vng/20170301-handreiking-rol-taken-vanfg.pdf

[6] Positionering van de FG; Uitgangspunten: rollen, processen en verantwoordelijkheden, https://www.autoriteitpersoonsgegevens.nl/uploads/imported/positionering_van_de_fg.pdf.

[7] EDPB 2023 Coordinated Enforcement Action, Designation and Position of Data Protection Officers, https://www.edpb.europa.eu/system/files/2024-01/edpb_report_20240116_cef_dpo_en.pdf