De wetgever heeft de Functionaris voor Gegevensbescherming (FG) aangewezen om intern toezicht te houden op het effectief beschermen van de rechten en vrijheden van personen door de verwerkingsverantwoordelijke[1]. Wat houdt die toezichtstaak precies in? Welke rol speelt hij in de governance van een organisatie? Wat is de invloed van de geactualiseerde Corporate Governance Code (CGC)?
De context waarbinnen een FG opereert, is ten opzichte van tien jaar geleden, toen de AVG van kracht werd, veranderend en veranderd. Niet alleen zijn de NIS2 richtlijn en AI Act van toepassing geworden. Ook de in 2025 geactualiseerde CGC vraagt aan bestuurders om zich in hun bestuursverslag over 2025 te verantwoorden over hun beheersing van risico’s op het gebied van onder meer gegevensbescherming, het verantwoord toepassen van AI en cyberweerbaarheid. Dat doen zij in hun Verklaring omtrent Risicobeheersing (VOR).
Het doel van de VOR is te waarborgen dat bestuurders verantwoording afleggen over de beheersing van operationele, compliance- en verslaggevingsrisico’s en de effectiviteit van hun interne risicobeheersings- en controlesystemen. Als het gaat om risico’s op het gebied van gegevensbescherming, heeft de FG een duidelijke rol. Dat betekent dat de aanwijzing van een FG voor bestuurders een stuk minder vrijblijvend is dan in 2016 en dat er duidelijke accenten ontstaan in de toezichthoudende rol van de FG. We lichten dat toe.
De rol van de FG in governance
De FG is een wettelijke toezichthouder. Hoe verhoudt zich de FG, die ook een rol heeft in de governance van een bedrijf, nu tot andere organen die in boek 2 van het BW een plek hebben gekregen. We denken dan vooral aan het bestuur en de raad van commissarissen (RvC), maar daar zijn ook de Algemene Vergadering van Aandeelhouders (AVA) en de registeraccountant die belast is met de controle van de jaarrekening.
Kort en goed stuurt het bestuur het bedrijf aan en houdt de RvC toezicht. De rollen (taken, bevoegdheden en verantwoordelijkheden) van het bestuur en de RvC zijn omschreven en nader uitgewerkt in de CGC. De rol van de RvC heeft overeenkomsten met de rol van de FG . Met de actuele versie van de CGC, waarin de Verklaring omtrent Risicobeheersing, (VOR) is opgenomen zijn de overkomsten evident. In het kort verantwoordt het bestuur zich in bestuursverslag voor essentiële bedrijfsrisico’s waaronder het niet effectief kunnen beschermen van persoonsgegevens. Een bestuursverslag heeft veelal de volgende opbouw:
- Verslag van de toestand en ontwikkelingen. Het bestuur schetst een beeld van de entiteiten op balansdatum. De vorm is vrij. Naast financiële informatie is er ook aandacht voor belangrijke risico’s en onzekerheden, waaronder de effectiviteit van het beschermen van persoonsgegevens, het cyberweerbaarzijn en het verantwoord gebruik van AI.
- Inschatting van toekomstige ontwikkelingen. Hierbij gaat het over bijvoorbeeld doelen, investeringen en personeelsbezetting. Het bestuur beschrijft die activiteiten, en de impact op de entiteit.
- Overige informatie. Informatie heeft bijvoorbeeld betrekking op het gebruik van financiële instrumenten en bijzondere gebeurtenissen na balansdatum.
De RvC gaat na of het bestuursverslag voldoende volledig en juist is. De RvC zal zich bijvoorbeeld afvragen of de privacyrisico’s realistisch zijn ingeschat en de plannen voor verbetering haalbaar zijn. De RvC zal de FG vragen een analyse van de toestand op balansdatum samen te stellen. Deze rapportage van de FG vormt een belangrijke basis voor de werkzaamheden van de RvC. De RvC zal voor de aandachtsgebieden van de CGC/VOR de betreffende rollen (bijvoorbeeld de Chief Information Security Officer (CISO) voor cyberweerbaar zijn en de FG voor privacy en verantwoord AI-gebruik) vragen een analyse van de toestand op balansdatum op te leveren.
Tenslotte
Het is evident dat de rol van FG als interne toezichthouder met de geactualiseerde CGC verandert. De FG had als interne toezichthouder al een governancerol, maar daaraan werd naar onze ervaring nog niet een hele serieuze invulling gegeven. Met de nieuwe CGC zal dat veranderen. Met de geactualiseerde CGC heeft het bestuur van een groot bedrijf de wettelijke verplichting gekregen zich aan het maatschappelijk verkeer te verantwoorden over de beheersing van risico’s van gegevensbescherming in zijn bedrijf. Dit geldt overigens ook voor risico’s van cyberweerheid en verantwoorde toepassing van AI. De FG zal ook bij deze onderwerpen betrokken worden. Het bestuur zal zich verlaten op de bevindingen van de FG.
Omdat grote bedrijven gebruik maken van toeleveringsketens, moeten zij zich ook kunnen verantwoorden over risico’s van andere bedrijven. Verantwoordelijkheid voor de beveiliging van de toeleveringsketen maakt immers onderdeel uit van de zorgplicht van de NIS2-richtlijn en de aanstaande Cyberbeveiligingswet. Daarmee heeft de CGC een groter bereik gekregen dan die van beursgenoteerde vennootschappen die direct onder de CGC vallen. Deze beursgenoteerde vennootschappen zullen van hun leveranciers uit de toeleveringsketen vragen om zich op dezelfde of vergelijkbare manier te verantwoorden over de beheersing van hun risico’s van gegevensbescherming, cyberweerbaarheid en verantwoorde toepassing van AI.
Daarmee heeft de CGC een groter bereik en toepassingsgebied gekregen dan haar eerdere versies. Voor de FG geldt dat het bereik van zijn of haar toezicht verbreed en zijn rol verzwaard is.
Contact, advies of training
Bent u op zoek naar een FG, die beschikt over relevante kennis en ervaring en die voor uw organisatie de interne toezichtsrol kan vervullen? Bekijk deze link.
Bent u een FG en wenst u bijscholing of verdieping? Schrijft u zich in voor de eerstvolgende Opleiding FG. Bekijk deze link.
Zoekt u een IT-omgeving met behulp waarvan u inzicht krijgt in de risicobeheersing van gegevensbescherming, cyberweerbaarheid en verantwoord AI-gebruik? Overweeg het SBC managementsysteem. Bekijk deze link.
Uiteraard kunt u ook rechtstreeks contact met ons opnemen voor vragen of een afspraak.
[1] Zie artikel 37 – 39 AVG, richtsnoeren van de Europese Data Protection Board (EDPB, https://www.edpb.europa.eu/edpb_nl) en uitingen van de toezichthouder (in Nederland de Autoriteit Persoonsgegevens, https://www.autoriteitpersoonsgegevens.nl/fg-informatie.
