Kompas voor het management, slijpsteen voor de geest

Overheden en publieke organisaties
Ten eerste zijn overheidsinstanties en publieke organisaties altijd verplicht om een FG als functie en NIET als rol aan te stellen, ongeacht het type gegevens dat ze verwerken. Het kan gaan om de rijksoverheid, gemeenten en provincies, maar ook om bijvoorbeeld zorg- en onderwijsinstellingen. Voor rechtbanken geldt de verplichte aanstelling van een FG niet.

Observatie
Ten tweede geldt de verplichting om een FG aan te stellen voor organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen (bijvoorbeeld Decentrale en Centrale Overheden). Het kan hierbij gaan om bijvoorbeeld profilering van mensen voor het maken van risico-inschattingen, cameratoezicht en monitoring van iemands gezondheid via wearables.

Relevant hierbij zijn onder meer het aantal mensen dat een organisatie volgt, de hoeveelheid gegevens die deze organisatie verwerkt en hoe lang de organisatie mensen volgt. 

Bijzondere persoonsgegevens
Ten derde zijn organisaties verplicht een FG te benoemen als ze op grote schaal bijzondere persoonsgegevens verwerken en dit een kernactiviteit is. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden.

Bevoegdheden FG
Een FG heeft geen formele sanctiebevoegdheden. Maar de organisatie is wel wettelijk verplicht om de FG controlebevoegdheden te geven. Zo moet een FG bevoegd zijn om ruimtes te betreden, zaken te onderzoeken en inlichtingen en inzage te vragen. De FG moet in onafhankelijkheid zijn werkzaamheden kunnen verrichten binnen een organisatie en verantwoording afleggen aan de Directie.

Een FG heeft dezelfde ontslagbescherming als leden van een ondernemingsraad. Dit betekent dat hij pas ontslagen kan worden na toestemming van de kantonrechter.

Combineren, of niet?
Afhankelijk van de grote van de gemeente, kan bij kleine gemeenten de rol van FG in deeltijd uitgevoerd worden. Juist deze gemeenten zijn (logischerwijs) geneigd deze functie(s) te combineren. Combineer deze functie dan niet met de CISO of PO-functie, maar kijk of het mogelijk is om dit te combineren over verschillende afdelingen binnen de gemeenten. Heeft de gemeente niet de juiste competenties in huis voor de rol van FG? Dan kun je de functie tot slot ook uitbesteden (inkopen) bij bijvoorbeeld QCN. Daarnaast zou je als gemeente ook kunnen kijken naar een combinatie van de functie CISO en PO. Deze zijn qua vakgebieden wel goed te combineren, maar de vraag is wel (ook hier) of de grote hoeveelheid werk die deze functies met zich meebrengen, door 1 FTE opgepakt en uitgevoerd kunnen worden.

Welke manier u ook kiest, zorg ervoor dat u er op tijd aan begint. Omdat het beide vrij nieuwe functies betreffen is de vijver met ‘FG-vissen’ en “CISO-vissen” nog niet heel groot, terwijl de vraag groot is. De overheid wil uiteraard niet achter het net vissen.
Indien noodzakelijk kunnen wij u helpen met een tijdelijke CISO, SO, FG of PO.