Hoofd Inkoop vraagt me naar een verwerkersovereenkomst te kijken van een leverancier. “Kunnen we deze gebruiken? Hun eigen FG heeft die overeenkomst opgesteld. Dat zou dus wel goed moeten zijn.” Na wat lezen frons ik mijn wenkbrauwen over een link waarachter wat bijzondere bepalingen zijn opgenomen. Het tevreden gevoel dat Inkoop zo’n groot vertrouwen heeft in de rol van de FG, ebt weg. Ik ga contact opnemen met die collega-FG. Misschien lees ik het verkeerd. Of ik zie een ijzersterk argument over het hoofd...
Naar de website van de leverancier. Geen FG-contactadres, bij de privacyverklaring staat alleen een algemeen info@domeinnaam. Ik wil liever niet dat iemand anders leest dat ik een actie van een collega betwijfel. Dan maar bellen. “Nee, ik mag u geen mobiel nummer geven. Ik verbind u door ….. sorry, er wordt niet opgenomen. Mag ik uw nummer, dan vraag ik of u teruggebeld wordt.”
Ik bel 2 dagen later nog eens. Opnieuw geen contact. Ik laat Inkoop weten wat ik een risico vind en dat het uiteraard aan de organisatie is om te bepalen of ze dat risico wil nemen.
Hoe makkelijk bereikbaar moet je zijn, wil je zijn als FG? In art. 13.1(b) AVG staat dat als er een FG is, de contactgegevens van die functionaris vermeld moeten worden (in de privacyverklaring) zodat een betrokkene die kan terugvinden. Art. 38.4 vermeldt dat betrokkenen contact moeten kunnen opnemen met de FG over alle aangelegenheden die verband houden met de verwerking van hun gegevens en met de uitoefening van hun rechten …
Aangezien de FG alleen een natuurlijk persoon kan zijn (geen bedrijf of afdeling) lijkt me een rechtstreeks telefoonnummer en mailadres vanzelfsprekend. Waarbij je natuurlijk moet hopen dat achter de mailbox fg@domeinnaam niet bv. de ict helpdesk verstopt zit. Je zult als medewerker maar een klacht willen indienen tegen jouw werkgever omdat je vindt dat er niet goed wordt omgegaan met de bescherming van jouw persoonsgegevens. En dat die klacht dus pas via via bij de FG terechtkomt. Hoezo vertrouwelijkheid en geheimhouding tussen FG en betrokkene (art. 38.5)?
Naar mijn mening is het logisch dat je rechtstreeks bereikbaar bent. Je bent er als FG immers met name voor de betrokkenen.
De volgende vraag is natuurlijk, hoe goed je bereikbaar moet zijn. 7x24? Ook tijdens de vakantie? En wie mag je eventueel vervangen? Deze discussie heb ik al vaker met collega-FG’s gevoerd. Je krijgt dan heel uiteenlopende reacties.
Ik heb zelf altijd de zakelijke telefoon aan staan en check die geregeld op e-mail. En als ik echt niet bereikbaar wil zijn, kan iemand lezen dat de informatiemanager of bestuurssecretaris mij vervangt. En dat ze voor klachten mij zelf een mailtje moeten sturen.
Eerlijk gezegd, hangt mijn reactie ook wel een beetje af van wie er belt.
Uit de praktijk: ik word midden in een wandeling op de hei van Planken Wambuis gebeld. Een medewerker in volslagen paniek omdat ze denkt ‘s avonds een ernstig datalek te hebben veroorzaakt. Ze heeft de hele nacht wakker gelegen. Natuurlijk ga ik daarop in. (Nee, het is niet ernstig en het is geen extern-meldingswaardig datalek, het is voor het interne register. Dus zet alles maar op de mail, check nog even XYZ en ik kijk er a.s. donderdag naar.) Maar een manager of directeur met een algemene vraag en die beter zou moeten weten, poeier ik af. “Bel me donderdag maar.”
Zijn jullie zelf makkelijk vindbaar? Minstens in de privacyverklaring? Wanneer mag je bereikbaar zijn? Alleen tijdens kantooruren? Alleen buiten kantooruren bij een mega ransomware-aanval? Wie mag je vervangen bij ziekte of vakantie? Laat s.v.p. wat van je horen via het NGFG-forum!
Voor iedereen die zich afvraagt hoe de case hierboven is afgelopen: na wat dagen wachten, laat ons hoofd Inkoop de leverancier weten de overeenkomst / het contract pas verder te behandelen als er contact is geweest tussen de beide FG’s. Wonder boven wonder, ik word diezelfde dag nog gebeld door de andere FG. We zitten een uur aan de telefoon en binnen een week ontvangt Inkoop een aangepaste overeenkomst.
Geerke Simons