De Functionaris Gegevensbescherming (FG) heeft een unieke positie binnen organisaties. Hij of zij is geen manager, stuurt geen teams aan en neemt geen besluiten over beleid of uitvoering. Tegelijkertijd wordt verwacht dat de Functionaris Gegevensbescherming invloed uitoefent op de wijze waarop bestuurders en managers omgaan met persoonsgegevens.
Die invloed komt niet voort uit formele hiërarchie, maar uit leiderschap in de samenwerking die is afgestemd op wat de situatie vraagt.
Toezicht krijgt pas waarde wanneer het verder gaat dan regels en kaders
Als manager heb je veel verantwoordelijkheden. Eén daarvan is het zorgvuldig omgaan met persoonsgegevens. Dat vraagt om bewuste keuzes, het afwegen van belangen en het nemen van verantwoordelijkheid.
Zo ook bij Menno. Hij is manager en weet dat hij moet voldoen aan de AVG. Binnen zijn directie ondersteunen privacyadviseurs hem bij de dagelijkse praktijk. Op organisatieniveau denkt de Chief Privacy Officer (CPO) mee over kaders en beleid.
Daarnaast is er de Functionaris Gegevensbescherming: een onafhankelijke toezichthouder die beoordeelt of beleid én uitvoering in overeenstemming zijn met de privacywetgeving.
De Functionaris gegevensbescherming kijkt daarbij niet alleen naar wat er gebeurt, maar vooral naar hoe beslissingen tot stand komen.
De FG tussen bestuur en uitvoering
De FG staat bewust buiten de lijnorganisatie. Hij of zij maakt geen deel uit van:
- de eerste lijn (directeuren, managers en privacyadviseurs),
- de tweede lijn (CPO en privacy governance),
- of de derde lijn (interne audit).
Juist deze onafhankelijke positie maakt zijn/ haar rol complex. De FG moet toezicht houden zonder onderdeel te worden van de uitvoering, adviseren zonder beslissingsbevoegdheid en rapporteren aan het hoogste managementniveau.
Effectief toezicht vraagt daarom om het vermogen om te schakelen tussen stijlen, rollen en gesprekken.
Situationeel leidinggeven als kernvaardigheid van de FG
Situationeel leiderschap betekent dat je je aanpak afstemt op de situatie, het volwassenheidsniveau van de organisatie en het privacybewustzijn van de gesprekspartner.
In de praktijk schakelt de FG voortdurend tussen verschillende rollen:
- Coachend, wanneer managers privacy nog vooral als ingewikkeld of abstract ervaren;
- Adviserend, wanneer inhoudelijke keuzes zorgvuldig moeten worden afgewogen;
- Reflecterend, wanneer aannames en vanzelfsprekendheden ter discussie moeten worden gesteld;
- Toezichthoudend, wanneer risico’s structureel worden onderschat of genegeerd.
De kracht van de FG zit niet in wat zij afdwingt, maar in hoe zij het gesprek voert.
Praktijkvoorbeeld: sturen zonder besluiten over te nemen
Menno krijgt de opdracht beleid te ontwikkelen voor een nieuwe vergoedingsregeling. De regeling geldt voor een beperkte groep medewerkers, maar vereist verwerking van gevoelige persoonsgegevens. De mogelijke impact op betrokkenen is groot. Omdat hij zich bewust is van die risico’s, betrekt Menno de privacyorganisatie vroegtijdig. Ook informeert hij de FG al in een vroeg stadium. De FG kiest hier voor een coachende en adviserende stijl. Hij/ zij bespreekt met Menno:
- welk doel hij wil bereiken;
- of de gekozen aanpak proportioneel is;
- hoe dataminimalisatie en doelbinding concreet kunnen worden toegepast;
- welke transparantie richting betrokkenen nodig is.
Daarnaast adviseert de FG om een Data Protection Impact Assessment (DPIA) uit te voeren.
Wanneer je vanuit je leiderschap moet bijsturen
Na afronding van de DPIA legt Menno het resultaat voor advies voor aan de FG. Op onderdelen besluit hij af te wijken van de aanbevelingen van de FG. Dat mag. De AVG legt de verantwoordelijkheid nadrukkelijk bij de verwerkingsverantwoordelijke.
De FG past de stijl aan: minder coachend en meer toezichthoudend. Daarbij worden verdiepende vragen gesteld over overwogen alternatieven, de aanvaardbaarheid van risico’s, de vastlegging van keuzes en de bestuurlijke verantwoording. Zo wordt de zorgvuldigheid geborgd, zonder dat de verantwoordelijkheid wordt overgenomen.
De Autoriteit Persoonsgegevens: onafhankelijkheid en leiderschap zijn belangrijke zaken
Ook de Autoriteit Persoonsgegevens benadrukt dat de Functionaris Gegevensbescherming zijn rol actief en zichtbaar moet invullen. In haar toezicht en richtlijnen onderstreept de AP het belang van:
- onafhankelijkheid ten opzichte van bestuur en management;
- voldoende positie en toegang tot besluitvormingsprocessen;
- en het daadwerkelijk uitoefenen van invloed op de organisatie.
Een FG die alleen op papier bestaat of zich beperkt tot passief adviseren, voldoet niet aan de bedoeling van de AVG. De AP verwacht dat de FG signalen afgeeft, rapporteert, en waar nodig kritisch is richting bestuur.
Dat vraagt om professioneel leiderschap: durven spiegelen, ook wanneer dat ongemakkelijk is.
Rapporteren, escaleren en loslaten
De FG geeft gevraagd en ongevraagd advies en rapporteert. Situationeel leiderschap betekent hier: weten wanneer een gesprek volstaat en wanneer bestuurlijke escalatie noodzakelijk is.
Effectief toezicht vraagt om:
- bestuurlijke sensitiviteit;
- consistentie in normen;
- flexibiliteit in stijl;
- en helderheid over verantwoordelijkheden.
De FG neemt geen besluiten over, maar zorgt ervoor dat besluiten bewust, uitlegbaar en verdedigbaar worden genomen.
Waarom is een opleiding situationeel leidinggeven belangrijk voor FG’s?
De praktijk laat zien dat kennis van privacywetgeving alleen niet voldoende is. Toezicht draait om communicatie, beïnvloeding en professionele stevigheid. Dat maakt situationeel leidinggeven een belangrijke vaardigheid voor iedere FG.
Een opleiding situationeel leidinggeven voor FG’s helpt om:
- effectiever het gesprek te voeren met bestuurders en managers;
- bewust te schakelen tussen coachen, adviseren en confronteren;
- onafhankelijk te blijven zonder afstand te creëren;
- steviger te staan in de bestuurskamer;
- toezicht te houden met meer impact.
Juist omdat de FG geen hiërarchisch mandaat heeft, is persoonlijk leiderschap bepalend voor het succes van zijn/ haar rol.
