Kan de FG-functie gecombineerd worden met functies als CISO of gegevensbeheerder?

Dit wordt afgeraden. De Autoriteit Persoonsgegevens (AP) heeft expliciet aangegeven dat de combinatie FG/CISO niet wenselijk is.

Volgens artikel 38, zesde lid, van de AVG, kan een FG “andere taken en plichten vervullen”. Daarbij moet het college er echter voor zorgen dat “deze taken of plichten niet tot een belangenconflict leiden”. Functies die in de regel belangenconflicten opleveren zijn: functies in het hogere management (bv. hoofd HR of IT-afdeling) en functies waarbij de doelstellingen van en middelen voor de verwerking van gegevens moeten bepalen. Ook kan een belangenconflict zich voordoen wanneer aan een FG wordt gevraagd om het college te vertegenwoordigen in de rechtbank bij rechtszaken over problemen met de gegevensbescherming.

Bij het combineren van de FG-functie met functies als CISO of gegevensbeheerder komt de onafhankelijkheid van de FG dus onder druk te staan. De CISO zal vaak in overleg met de FG passende technische maatregelen moeten nemen bij het beschermen van persoonsgegevens. De FG houdt hier vervolgens weer toezicht op. Bij het combineren van deze functies ontstaat mogelijk een situatie waarin de slager zijn eigen vlees keurt. De gegevensbeheerder heeft een belangrijke uitvoerende rol in de organisatie en staat onder druk van de organisatie om zaken te leveren. De combinatie van de (hiërarchische) druk op de gegevensbeheerder en de onafhankelijke functie van FG lijkt dan onverenigbaar.

Afhankelijk van de activiteiten, de omvang en de structuur van de gemeente kan het voor het college een goede praktijk zijn om:

  • de posities te identificeren die onverenigbaar kunnen zijn met de functie van FG;
  • interne regels op te stellen om belangenconflicten te vermijden;
  • een meer algemene uitleg over belangenconflicten op te nemen;
  • te verklaren dat haar FG geen belangenconflict heeft in zijn functie als FG, als een manier om anderen van dit vereiste bewust te maken;
  • in het gemeentelijke beleid waarborgen op te nemen en ervoor te zorgen dat de vacature voor de positie van FG of de dienstverleningsovereenkomst voldoende gepreciseerd en gedetailleerd is om belangenconflicten te vermijden.

Meer informatie vindt u in de Handreiking Positionering  en taken van de FG.