PrivacyTeam033 200 30 83

Wat is de rol van de FG bij de uitleg van open normen?

De FG kan een belangrijke rol spelen bij de vertaling van open normen naar de praktijk. Daarvoor moet de FG wel op tijd en naar behoren betrokken worden. Dat staat ook in de wet.

Praktijkvoorbeeld
Een gemeente schaft beveiligingscamera’s aan voor in het stadhuis. De gemeente is daarmee verwerkingsverantwoordelijke.

Deze casus begint met de vraag: wat is de verhouding tussen de bescherming van persoonsgegevens en het doel om de camera’s op te hangen? De FG kan in dit beginstadium adviseren en de organisatie laten nadenken over wat noodzakelijk is. Kan de gemeente het doel bijvoorbeeld ook bereiken met nepcamera’s? Moeten de beelden wel worden opgeslagen, en zo ja: hoe lang? Kan de gemeente betrokkenen eerst om hun mening vragen?

Als alle feiten en omstandigheden duidelijk zijn, kan de FG adviseren over de verschillende scenario’s. De gemeente in de rol van verwerkingsverantwoordelijke maakt vervolgens een doordachte keuze. Daarbij moeten open normen worden ingevuld. Bijvoorbeeld op het gebied van dataminimalisatie, bewaartermijnen of de toegang tot en de beveiliging van de verzamelde beelden. Legt de gemeente het advies van de FG naast zich neer? Dan is daarvoor een onderbouwing nodig.

Te laat betrokken
Wordt de FG te laat of te beperkt betrokken? Bijvoorbeeld doordat het bedrijfsproces al helemaal is ingericht, de DPIA al is geschreven en de camera’s al zijn aangeschaft? Dan zal de rol van de FG maar klein kunnen zijn bij het adviseren over de open normen. Op dat moment kan de FG immers alleen nog toetsen en adviseren over de vraag of de organisatie bij de uitleg van de open norm niet onder het minimale beschermingsniveau is uitgekomen. En of de verwerking daarmee nog wel rechtmatig is. Zeker wanneer geen intern beleid of visie is ontwikkeld, kan de FG alleen nog toetsen aan algemene kaders zoals de AVG, guidelines van de EDPB en rechtspraak. Dat is een gemiste kans en kan problemen opleveren.

Bron: FG Nieuwsbrief van de Autoriteit Persoonsgegevens (17.01.2023)

Naar het overzicht