Informatieblad – Jaarverslag FG De FG is verplicht jaarlijks een verslag te maken waarin hij verslag doet van zijn werkzaamheden en bevindingen.1 Doel van het jaarverslag Het jaarverslag van de functionaris voor de gegevensbescherming (FG) heeft niet alleen een formele functie, maar ook een strategische. Met het jaarverslag toont de verantwoordelijke aan, via zijn FG, dat hij de Wbp en de relatie met zijn klanten of andere geregistreerden, serieus neemt. Het jaarverslag heeft enerzijds een signalerende functie met betrekking tot de naleving van de Wbp door de organisatie van de verantwoordelijke, en anderzijds heeft het ook een verantwoordingsfunctie voor de onafhankelijk binnen de organisatie functionerende FG. Uit dien hoofde is het van belang dat het jaarverslag dat een FG opstelt de kwaliteit krijgt die het verdient. Dit informatieblad poogt de FG daarbij de helpende hand te bieden. Inrichting van het jaarverslag; checklist Aan het eind van dit informatieblad treft u een tabel aan die een checklist vormt waaraan u de inrichting van het jaarverslag kunt toetsen. in de teksten hierna wordt zoveel mogelijk uitgegaan van een korte beschrijving van een onderwerp in algemene zin, waarna vervolgens wordt ingegaan op de betekenis daarvan voor het werk van de FG, over de manier waarop deze daarmee is omgegaan dan wel wat zijn bevindingen over dit onderwerp zijn. Ook is een onderscheid aangebracht tussen het eerste jaarverslag van de FG en de volgende jaarverslagen. Is het Jaarverslag van de FG openbaar? Destijds ontstond in de Tweede Kamer een discussie over de vraag, in hoeverre het jaarverslag van de FG openbaar diende te zijn. Uiteindelijk is besloten om openbaarheid van het verslag niet verplicht te stellen in verband met bedrijfsgevoelige gegevens die in een dergelijk jaarverslag kunnen zijn opgenomen. Ook vanuit de concurrentiepositie van bedrijven is een verplichte “openbaarheid” niet wenselijk. De Wet bescherming persoonsgegevens (Wbp) 1
Artikel 63, vijfde lid, Wbp
2 geeft dus formeel geen verplichting het jaarverslag openbaar te doen zijn. Bestuursorganen dienen er rekening mee te houden dat een verzoek om inzage op basis van de Wet openbaarheid van bestuur (Wob) een grote kans van slagen heeft. Het eerste jaarverslag Er is een verschil tussen het eerste jaarverslag dat de FG van een organisatie opstelt en de jaarverslagen die daarna volgen. Het eerste jaarverslag geeft nl. niet alleen een weergave van zijn werkzaamheden en bevindingen in de afgelopen periode, maar met dit verslag krijgt de FG de kans zich voor het eerst formeel te positioneren als de interne toezichthouder. Wellicht heeft de FG via adviezen of aanbevelingen al eerder van zich doen spreken, maar met dit eerste jaarverslag wordt aan de organisatie een totaalbeeld geboden over de FG, over de wijze waarop hij zijn taak heeft opgepakt, over de manier waarop hij zich in de organisatie beweegt, etc. Met dit verslag krijgt de FG de kans zijn waarde voor de organisatie te bewijzen. Inhoud jaarverslag volgens de Wbp: werkzaamheden en bevindingen De Wbp bevat geen gedetailleerde normen of vormvoorschriften voor het jaarverslag van de FG. In de wettekst staat niet meer dan dat de FG “jaarlijks een verslag opstelt van zijn werkzaamheden en bevindingen”. Het verdient dan ook aanbeveling om in ieder geval op de werkzaamheden en bevindingen in te gaan in het jaarverslag. De werkzaamheden van de FG vloeien voort uit het takenpakket dat aan de FG is toebedeeld (zie het informatieblad Taken van de FG). Bevindingen kunnen constateringen zijn die worden gerelateerd aan de Wbp. Het verdient overigens aanbeveling om daarbij voor de verantwoordelijke de grote lijnen te zoeken en niet alleen details te melden. Soms wordt aan de bevindingen ook het (integrale) oordeel van de FG gekoppeld. Het verslag van de FG dient voorts zijn kennis zichtbaar te maken, zijn onafhankelijke taakuitoefening, zijn invloed op de verwerking van persoonsgegevens en de waarde van zijn functioneren voor de organisatie. Voorbeelden die bepaalde juridische risico’s illustreren of die aantonen dat de bescherming van gegevens in de praktijk van de verantwoordelijke daadwerkelijk kan gaan “klemmen”, zijn een echte “must”! De Wbp De tabel start met de Wbp: dit is immer de basis voor het werk van de FG. Een korte beschrijving in het eerste jaarverslag is noodzakelijk. Die beschrijving kan overigens beperkt blijven tot het doel van de wet en het belang wat de wet beoogt te beschermen. Het heeft in het algemeen weinig zin al in dat stadium de lezer te overladen met de bepalingen uit de wet. De organisatie Vervolgens is een korte beschrijving van de organisatie wenselijk: met name de status quo is van belang. Hoe staat de organisatie er voor, wat is de koers van de organisatie, wat is het doel en de missie. Het is voor het werk van een FG nogal een verschil of zijn organisatie een verzekeraar is, een ziekenhuis of een middelgroot handelsinformatiebureau. Het verdient daarom aanbeveling om
NGFG – januari 2007
3 nadrukkelijk in te gaan op het belang van de organisatie bij de bescherming van persoonsgegevens. Bij het punt ‘herbeschouwen’ wordt bedoeld dat elk jaar opnieuw de FG kort moet aangeven welke veranderingen de organisatie heeft doorgemaakt, en welke impact dat heeft gehad op zijn werkzaamheden Privacybeleid en interne privacyregels Het zou prettig zijn als de organisatie een goed ontwikkeld en geïmplementeerd privacybeleid heeft op het moment dat de FG zijn werkzaamheden aanvangt, maar de werkelijkheid is vaak anders. Meestal zal het de FG zijn die de motor wordt van de ontwikkeling van privacybeleid. In die situatie kan de start van de werkzaamheden in het jaarverslag worden beschreven. Wel dient ervoor gewaakt te worden dat de FG zijn werkzaamheden niet beschrijft in de rol van (beleids)ontwikkelaar en invoerder van dit beleid. Als onafhankelijk toezichthouder kan hij immers niet zijn eigen werk toetsen. Bevoegdheden van de FG In dit onderdeel kan de FG beschrijven welke bevoegdheden hij heeft, en hoe hij deze bij de uitoefening van zijn werkzaamheden inzet. Dat kan in algemene en vooral beschrijvende zin, en bij het specifieke FG deel kan daarop dieper worden ingegaan door middel van het noemen van voorbeelden. Het toezicht van de FG en zijn bevindingen In dit onderdeel kan de FG beschrijven hoe zijn toezichthoudende werkzaamheden in de organisatie zijn ingebed en wat het object of de objecten van toezicht zijn. Hier kan dan worden aangegeven hoe de FG dit toezicht in het verslagjaar heeft uitgeoefend, wat de uitkomsten daarvan waren en wat de consequenties daarvan zijn. Ook kan hierin worden aangegeven op welke wijze hij zijn toezichtinstrumenten heeft ingezet. De wet spreekt niet alleen over een verslag over de “werkzaamheden”maar ook over de “bevindingen” van de FG. Afhankelijk van de cultuur in uw organisatie kunt u eventuele bevindingen, met name de tekortkomingen, expliciet benoemen of er meer in algemene zin over spreken. IN het laatste geval zou u dit kunnen verduidelijken door het noemen van een (al dan niet bestaand) voorbeeld. Ook is het verstandig om, als u van plan bent duidelijk te omschrijven welke tekortkomingen u in de organisatie heeft aangetroffen en met name wààr u die heeft aangetroffen, degenen wie dat betreft die tekst voor te voren ter inzage te geven en hen daarop te laten reageren. Het is een goede journalistieke traditie om “hoor en wederhoor”toe te passen, en dat geldt dus ook voor de FG en zijn jaarverslag. Meldingenregister Bij dit onderwerp dient de FG aan te geven op welke wijze het register is ingericht, waar het te vinden is en hoe het register zich ontwikkelt. Het inrichten en onderhouden van het register is een van de weinige specifiek omschreven wettelijke taken van de FG, en is bedoeld voor het bieden van transparantie. Het verdient dus aanbeveling hiervan zorgvuldig verslag te doen.
NGFG – januari 2007
4 Kwantitatieve en kwalitatieve gegevens Een jaarverslag kan sterker worden door het noemen van aantallen, bijvoorbeeld van uitgebrachte adviezen of van bijvoorbeeld het aantal aanwezige verwerkingen van persoonsgegevens, omdat dit iets zegt over de omvang van de taak van de FG. Daarmee verantwoordt de FG zich ten opzichte van de organisatie. Het noemen van de aantallen en soorten verwerkingen leidt nogal eens tot een schrikeffect bij het management. Zoveel? Ja, inderdaad, zoveel. Het benoemen van dergelijke cijfers kan leiden tot een reëel risico- en verantwoordelijkheidsbesef bij de verantwoordelijke, en tot inzicht in een efficiëntere wijze van bedrijfsvoering. Deze bewustmaking op zich is al een eerste winst van de werkzaamheden van de FG. Soms kan het weergeven van getallen ook irritatie wekken, bijvoorbeeld als talloze kleine adviezen worden weergegeven. Denk dus bij het weergeven van kwantitatieve gegevens na over de functie ervan en over het effect ervan op de lezer. Producten Elke FG produceert het nodige in de loop van een jaar. Dat kunnen producten van allerlei aard zijn. Los van het feit dat de FG verplicht is zijn werkzaamheden te beschrijven, kunnen ook zijn producten worden beschreven. Die beschrijving biedt de FG de mogelijkheid tot bredere bekendheid en werking van zijn producten. Privacycoördinatoren, coalities en externe contacten Het verdient aanbeveling binnen de grotere organisaties te werken met privacycoördinatoren: medewerkers die voor hun afdeling of directie het aanspreekpunt zijn voor privacyvraagstukken. Het mooiste is als de aanwijzing daarvan wordt aangestuurd door de leiding. Een dergelijk netwerk van mensen zijn de ogen en oren van de FG. De contacten met de coördinatoren versterken de positie van de FG, maar bieden hem ook de nodige hulp bij de uitoefening van zijn taken. De FG kan de contacten met, of de activiteiten van de privacycoördinatoren binnen zijn organisatie beschrijven in het jaarverslag. Ook kunnen de coördinatoren bijdragen aan het verzamelen van gegevens ten behoeve van het jaarverslag: de coördinatoren zijn immers beter dan hij op de hoogte van de stand van zaken binnen de afdeling of de directie waar de coördinator werkzaam is. Er kan ook een intern samenwerkingsverband bestaan met de accountantsdienst. Het opzetten van een audit met behulp van de accountantsdienst vergemakkelijkt in het algemeen de taak van de FG, en biedt daarnaast de mogelijkheid van bredere bekendheid van zijn uitgebrachte rapporten. Ook deze samenwerkingsverbanden kunnen worden beschreven. Bij externe contacten kan natuurlijk gedacht worden aan het CBP, maar bijvoorbeeld ook aan vakgenoten bij andere organisaties, aan de beroepsvereniging het NGFG, de toezichthouderorganisatie Vide of andere toezichthouders zoals de NMA, de OPTA of de AMF. Ook over contacten met privacydeskundigen kan worden geschreven, bijvoorbeeld als er een extern advies is gevraagd over een complexe situatie.
NGFG – januari 2007
5 Geschillen Het voeren van procedures over de bescherming van persoonsgegevens, of dat nu met het CBP is of met andere instanties, is in het algemeen iets wat niet geheim gehouden kan worden. Soms kan daar een sterk punt van gemaakt worden in het jaarverslag, bijvoorbeeld door aan te geven wat er na een uitspraak van het CBP of van de rechter is veranderd en welke wezenlijke verbeteringen dat heeft opgeleverd voor de organisatie. Conclusies en aanbevelingen Een belangrijk onderdeel van het verslag zijn de conclusies en aanbevelingen. Welke conclusies trekt de FG uit zijn bevindingen en welke aanbevelingen geeft hij aan de verantwoordelijke mee? Zie hierover ook het onderdeel ‘Toonzetting’ hierna. Zie de ‘Conclusies en aanbevelingen’ vooral als strategische instrumenten voor het te bereiken doel: een groter vertrouwen bij “het publiek” via een adequate bescherming van persoonsgegevens. Indien u als FG in het volgende jaar daartoe verdere stappen wilt ondernemen, is dit de plek waar u daarvoor de eerste paaltjes slaat. Toonzetting in het jaarverslag Privacybeleid, en meer specifiek het treffen van voorzieningen voor het beschermen van persoonsgegevens, behoort over het algemeen niet tot de primaire doelstellingen van ondernemingen. Dit kan daarom al gauw gezien worden als “bijkomende last”. Het verdient daarom aanbeveling de inhoud en toonzetting van het jaarverslag daar op aan te passen. Niet dat er niet serieus op het een en ander kan worden ingegaan, maar met het kortweg zwaar aanzetten van alle tekortkomingen in de organisatie wordt het onderwerp er niet populairder op. Met name niet als men bedenkt, dat in de bedrijfsvoering privacybescherming slechts één van de onderwerpen is waar het management mee te maken heeft. Het invoeren van de Wet bescherming persoonsgegevens en vervolgens het bereiken van de optimale situatie dient te worden gezien als iets waarnaar men moet blijven streven, maar dat waarschijnlijk nooit bereikt zal worden. Dat is de realiteit. Beter is het dus om dit onderwerp vooral “bewustmakend” te beschrijven, en ook de verbeteringen met naam en toenaam te benoemen. Niet alleen als voorbeeldfunctie, maar ook om een bemoedigend effect te bereiken. Tenslotte Het bestuur van het NGFG stelt het op prijs reacties over dit informatieblad te ontvangen. Opmerkingen en vooral verbeteringen zijn altijd welkom. U wordt daarom uitgenodigd uw reactie te mailen naar
[email protected].
NGFG – januari 2007
6
Onderwerpen
Algemeen
Wbp
FG-specifieke werkzaamheden
doelomschrijving
1e jaarverslag wettelijk kader taak
2e en volgende refereren aan
Organisatie
status quo
relatie m/FG taak
herbeschouwen3
Privacybeleid
organisatiebreed
ontwikkeling FGbeleid
implementatie en consolidatie
Interne privacyregels
organisatiebreed
effect op FGwerkzaamheden
refereren aan
Bevoegdheden FG
positionering FG
beschrijven
per bevoegdheid beschrijven al dan niet gehanteerd
Toezicht & bevindingen
inrichting in de organisatie, objecten, instrumenten
inrichting taak en 1e visie op uitoefening
uitoefening toezicht (beschrijvend), inzet instrumenten etc.
Meldingenregister
procedure
opstellen register
onderhoud en overzicht
Kwantitatieve gegevens
grootte organisatie, medewerkers, locaties etc.
aantallen/soorten verwerkingen en systemen
+ aantallen rapporten, adviezen, klachten etc.
Kwalitatieve gegevens
primaire en secundaire processen organisatie, niveau medewerkers etc.
diepte en breedte adviezen, rapporten, onderwerpen, etc.
+
Producten
(audit)rapporten, voorlichting, advisering, klachtafhandeling, aanbevelingen, bemiddeling, symposium/congres bijeenkomsten, website, cursussen
opzet en planning
uitkomsten inrichting/effecten inhoudelijke beschrijving
Privacycoördinatoren
aantallen, niveau, werkwijze
inrichting contact
onderhoud en gebruik
Coalities
met wie/welke posities
concretisering en motivering
effecten samenwerking beschrijven en
Externe contacten
relatie organisatie
belang werk FG
dito
Geschillen
in/extern
Conclusies en aanbevelingen
Gericht tot verantwoordelijke
3 Hiermee wordt bedoeld dat elk jaar opnieuw de FG kort moet aangeven welke veranderingen de organisatie heeft doorgemaakt, en welke impact dat heeft gehad op zijn werkzaamheden
NGFG – januari 2007
