De gemeente Drimmelen zit al een jaar zonder functionaris gegevensbescherming, terwijl het wel verplicht is om die te hebben. Dat blijkt uit onderzoek van journalistiek platform Woeste Grond.
door Rens van de Plas/Woeste Grond
Een functionaris gegevensbescherming, of FG, houdt binnen een gemeente toezicht op hoe er met de privacy wordt omgegaan. Hij verzamelt informatie over hoe gegevens worden verwerkt, bekijkt of die verwerkingen aan de wet voldoen en geeft daarover advies aan ambtenaren, wethouders en de burgemeester. Alle gemeenten moeten verplicht zo’n functionaris hebben en die moet onafhankelijk kunnen werken.
In de gemeente Drimmelen ontbreekt er echter zo’n verplichte functionaris. De vorige FG vertrok in juli 2024 en sinds die tijd heeft de gemeente nog geen nieuwe medewerker gevonden die de rol kan vervullen. De taken van de onafhankelijke functionaris zijn inmiddels al een jaar bij de privacy officer belegd. "Hoewel het ideaal gezien niet de voorkeur heeft, is het in uitzonderlijke gevallen mogelijk om de taken van de FG bij de privacy officer te beleggen, mits dit voor een beperkte periode is", zegt een woordvoerder van de gemeente.
Een privacy officer is degene die binnen de gemeentelijke organisatie privacybeleid ontwikkelt en controleert. De privacy officer maakt onderdeel uit van de gemeentelijke organisatie, terwijl de FG juist onafhankelijk is. Ze werken allebei aan het thema privacy, maar hun posities zijn bijna tegenovergesteld aan elkaar.
Die ‘beperkte periode’ waarin de privacy officer ook de FG-taken op zich neemt, sleept inmiddels al een jaar voort. En daar plukken burgers niet de vruchten van. Burgers die een inzageverzoek willen doen of een datalek willen melden, moeten daarvoor namelijk naar de FG en erop kunnen vertrouwen dat die meldingen onafhankelijk worden behandeld. Vorig jaar zijn er door burgers in Drimmelen drie privacyverzoeken ingediend, waarvan er twee zijn afgedaan door een ambtenaar die de Basisregistratie Personen beheert.
"De verzoeken zijn tijdig en zorgvuldig afgehandeld", laat de gemeente over die meldingen weten. Of dat echt zo is, is gissen. Burgers kunnen in Drimmelen niet vanzelfsprekend, zoals in andere gemeenten het geval is, op de onafhankelijkheid van de FG vertrouwen. Hypothetisch gezien zou een melding van een datalek in Drimmelen op het bureau van een ambtenaar kunnen komen te liggen, zonder dat daar een interne toezichthouder naar gekeken heeft. Dat maakt de organisatie kwetsbaar.
Om belangenconflicten te voorkomen, heeft de gemeente Drimmelen naar eigen zeggen gezorgd voor een ‘duidelijke taakafbakening’ en ‘strikte rapportagelijnen’. "Alle genomen maatregelen en beslissingen zijn transparant gedocumenteerd", zegt de woordvoerder. De privacy officer houdt zich naar eigen zeggen bewust afzijdig van advisering in zaken die zijn eigen verantwoordelijkheden raken.
De vraag is of dat altijd lukt als je een dubbele pet hebt. De Autoriteit Persoonsgegevens, die toezicht houdt op de naleving van de AVG bij gemeenten, vindt het niet wenselijk als een FG ook een privacy officer is. "De AVG laat expliciet toe dat de FG taken kan combineren als dit geen belangenconflict oplevert, maar de Autoriteit Persoonsgegevens ziet nog regelmatig zorgwekkende combinaties van functies", zegt een woordvoerder.
"Of het combineren van functies leidt tot een belangenconflict, moet per geval beoordeeld worden. Het uitvoeren van privacy officer-taken kan tot problemen leiden voor het onafhankelijk toezicht vanuit de FG-functie. Dit kan er immers voor zorgen dat de FG toezicht houdt op het eigen werk." De woordvoerder geeft een voorbeeld van een FG die als privacy officer een verwijderverzoek van een burger afhandelt. Als die burger later een klacht indient, moet de FG die behandelen, en dan komen belangen in de knel.
Ook bij digitale burgerrechtenorganisatie Bits of Freedom zijn ze scherp op dubbele petten bij FG’s. "De rol van de FG is echt om een toezichthouder en een externe adviseur te zijn", zegt algemeen directeur Evelyn Austin. "Op het moment dat een privacy officer ergens tegenaan loopt, moet je als FG daar met een belangeloze blik naar kunnen kijken. Als je beide petten draagt, wordt dat wel heel moeilijk. De FG zou nooit zelf bij de uitvoering betrokken moeten zijn."
Austin adviseert gemeenten waarbij de FG nog een andere functie heeft daar zo snel mogelijk mee te stoppen. "De AVG is al sinds 2018 van kracht. Als je dit na zeven jaar nog niet op orde hebt, moet je je echt kapot schamen. Mocht het een capaciteitsprobleem zijn, dan kunnen gemeenten hun FG ook delen met een andere organisatie. Dat mag gewoon van de wet en is ook niet zo moeilijk te regelen. Gemeenten doen er hoe dan ook goed aan om hun FG alleen toezicht te laten houden, verder niets."
Of de Autoriteit Persoonsgegevens in gesprek gaat met de gemeente Drimmelen, wordt door de Autoriteit niet bekend gemaakt.
Woeste Grond vond nog veertien andere gemeenten waarbij de functionaris gegevensbescherming een dubbelrol heeft. Lees het hele onderzoek na op woestegrond.org. Dit verhaal is tot stand gekomen met steun van het Fonds Bijzondere Journalistieke Projecten (fondsbjp.nl).