Misverstand over de gecertificeerde Functionaris Gegevensbescherming
Een terecht misverstand dat wordt aangekaart is het misverstand dat de FG verantwoordelijk zou zijn voor de naleving van het privacybeleid. Deze verantwoordelijkheid ligt bij de bestuurders. De FG heeft de rol om toe te zien dat de organisatie de goede weg in slaat en om advies en guidance te geven om toe te werken naar een privacyvriendelijke organisatie. In deze blog ga ik in op een ander misverstand omtrent FG’s, namelijk: de gecertificeerde FG.
Steeds vaker kom je op het internet dure opleidingen tegen voor gecertificeerde FG’s (Certified DPO) of vacatures waarin een van de functievereisten is van een FG dat je een gecertificeerd FG bent. Dat opleidingen adverteren met 'gecertificeerde FG's' is nogal misleidend. Het suggereert namelijk dat het gaat om certificering zoals bedoeld in artikel 42 van de Algemene Verordening Gegevensbescherming (hierna: AVG). Maar de Autoriteit Persoonsgegevens verstrekt helemaal geen certificaten aan FG's en heeft ook géén criteria goedgekeurd voor certificering van FG's door externe organisaties of opleidingsinstituten. Dat kan de Autoriteit Persoonsgegevens ook niet doen, omdat AVG-certificering alleen mogelijk is voor verwerkingen, en niet voor personen. De AVG stelt de volgende eisen aan de deskundigheid van FG's:
- Professionele kwaliteiten;
- Deskundigheid op het gebied van wetgeving en de praktijk wat betreft privacy- en gegevensbescherming;
- De kundigheid om de taken die bij een FG horen uit te kunnen voeren. De taken van de FG zijn bijvoorbeeld, informeren en adviseren over de AVG, het toezien op de AVG en het adviseren over en toezien op de uitvoering van een Data Protection Impact Assessment (DPIA).
Wanneer een FG een gecertificeerde FG is betekent dit dat de FG een opleiding heeft gevolgd met de naam Certified DPO of dat de FG een certificaat voor de opleiding heeft gekregen. En soms slaat de certificering op het opleidingsinstituut dat de opleiding heeft aangeboden. Het label gecertificeerd FG zegt niets over de kwaliteiten of de ervaring van een FG. Mijn inziens juist de functie eisen die er toe doen bij een FG. Er zijn veel goede FG’s werkzaam die niet in het bezit zijn van een certificaat, maar wel jarenlange ervaring hebben en de vereiste kwaliteiten bezitten.
Hierbij een aantal tips die een indicatie kunnen geven of een FG geschikt is voor de functie of de adviesopdracht:
- Kijk naar de hoeveelheid jaren inhoudelijke privacy-ervaring die een FG heeft;
- Kennis van informatiebeveiliging is een pré, maar volstaat op zichzelf niet als privacykennis;
- Vraag naar referentieprojecten waar een FG gewerkt heeft;
- Bekijk het adviesbureau dat de dienst aanbiedt om een beeld te krijgen van de deskundigheid en professionaliteit.