In een eerder blog hebben wij uitgelegd hoe de organisatie van privacy in de organisatie het beste kan worden vormgegeven. Daarin hebben wij toegelicht dat de Functionaris Gegevensbescherming een onafhankelijke positie toekomt en dat deze aan het hoogste leidinggevende niveau van de verwerkingsverantwoordelijke moet rapporteren.

Uitdagingen van de FG

Voor een FG is het vaak een uitdaging om – zeker in een grote en complexe publieke organisatie – eigenhandig een weg naar het hoogste leidinggevende niveau te bewandelen. Daarnaast is het niet ongebruikelijk dat een FG vaak met weerstand te maken krijgt bij het uitvoeren van diens werkzaamheden, en in de organisatie als een verlengstuk van de Autoriteit Persoonsgegevens (AP), ofwel de “privacy politie” wordt gezien. Voor de ongedwongen uitoefening van de taken van de FG en daarmee de onafhankelijke positie is dit niet bevorderlijk. De FG maakt uiteindelijk ook deel uit van de organisatie en is er vooral om te zorgen dat door adequaat toezicht en advies, de organisatie overeenkomstig de AVG handelt, om de AP juist buiten de deur te houden. Om de onafhankelijke positie van de FG te waarborgen, is het raadzaam om een FG vanuit een externe partij aan te stellen. Hierdoor is de FG in ieder geval HR-technisch volledig onafhankelijk. Daarnaast kijkt een externe FG vanuit een ander perspectief, en daardoor objectief naar de organisatie. Dit maakt dat een FG vanuit een externe partij zeer geschikt is voor diens toezichthoudende taken.

Het hoogst leidinggevende niveau

De rechtspersoon is de verwerkingsverantwoordelijke. Het bestuur van de rechtspersoon is doorgaans het hoogste leidinggevende niveau binnen de rechtspersoon. Bij grote en complexe organisaties is het hoogste leidinggevende niveau vaak te ver verwijderd van de daadwerkelijke uitvoering van de werkzaamheden. Dan is het vaak niet relevant om op het hoogste leidinggevende niveau op detailniveau te rapporteren. Dan kan de keuze worden gemaakt om op het hoogste leidinggevende niveau in hoofdlijnen te rapporteren. De rapportage op detailniveau vindt dan plaats daar waar de beslissingen omtrent de uitvoering van de werkzaamheden worden genomen. Dit betekent een jaarverslag of halfjaarlijkse rapportage aan de Raad van Bestuur als hoogste leidinggevende niveau. De rapportage op detailniveau vindt dan plaats bij het managementteam als het niveau waar de daadwerkelijke beslissingen worden genomen.  Het hoogst leidinggevende niveau kan overigens uit meerdere bestuurders bestaan en het rapporteren aan een van deze bestuurders kan onder omstandigheden ook voldoende zijn. Tot slot kunnen binnen een organisatie meerdere hoogste leidinggevende niveaus aanwezig zijn. Deze organen zijn dan het hoogte leidinggevende niveau voor de eigen taken en bevoegdheden. Dit is bijvoorbeeld het geval bij de Burgemeester, het College en de Gemeenteraad alle drie hebben diverse taken en bevoegdheden geattribueerd gekregen vanuit de Gemeentewet, en ieder is voor de eigen taken het hoogste leidinggevende niveau.
Op basis van de uitspraak van de WorkingParty29 (“The highest management level and to those making the decisions”) is dit verder uitgebreid.  We kunnen stellen dat het advies van de FG daar terecht moet komen waar beslissingen worden genomen, waarbij tegelijkertijd  de bestuurders in hoofdlijnen op de hoogte zijn van wat er binnen de organisatie gebeurt.