Een terecht misverstand dat wordt aangekaart is het misverstand dat de FG verantwoordelijk zou zijn voor de naleving van het privacybeleid. Deze verantwoordelijkheid ligt bij de bestuurders. De FG heeft de rol om toe te zien dat de organisatie de goede weg in slaat en om advies en guidance te geven om toe te werken naar een privacyvriendelijke organisatie. In deze blog ga ik in op een ander misverstand omtrent FG’s, namelijk: de gecertificeerde FG.
Steeds vaker kom je op het internet dure opleidingen tegen voor gecertificeerde FG’s (Certified DPO) of vacatures waarin een van de functievereisten is van een FG dat je een gecertificeerd FG bent. Dat opleidingen adverteren met 'gecertificeerde FG's' is nogal misleidend. Het suggereert namelijk dat het gaat om certificering zoals bedoeld in artikel 42 van de Algemene Verordening Gegevensbescherming (hierna: AVG). Maar de Autoriteit Persoonsgegevens verstrekt helemaal geen certificaten aan FG's en heeft ook géén criteria goedgekeurd voor certificering van FG's door externe organisaties of opleidingsinstituten. Dat kan de Autoriteit Persoonsgegevens ook niet doen, omdat AVG-certificering alleen mogelijk is voor verwerkingen, en niet voor personen. De AVG stelt de volgende eisen aan de deskundigheid van FG's:
Wanneer een FG een gecertificeerde FG is betekent dit dat de FG een opleiding heeft gevolgd met de naam Certified DPO of dat de FG een certificaat voor de opleiding heeft gekregen. En soms slaat de certificering op het opleidingsinstituut dat de opleiding heeft aangeboden. Het label gecertificeerd FG zegt niets over de kwaliteiten of de ervaring van een FG. Mijn inziens juist de functie eisen die er toe doen bij een FG. Er zijn veel goede FG’s werkzaam die niet in het bezit zijn van een certificaat, maar wel jarenlange ervaring hebben en de vereiste kwaliteiten bezitten.
Hierbij een aantal tips die een indicatie kunnen geven of een FG geschikt is voor de functie of de adviesopdracht: