Gemeenten hebben de afgelopen jaren veel tijd en energie besteed aan de thema’s informatiebeveiliging en privacy. Privacy was in mijn optiek een thema dat bij veel gemeenten ‘meeliftte’ op het thema informatiebeveiliging. We moesten als gemeenten de Baseline Informatiebeveiliging Gemeenten (BIG) implementeren, daar lag de prioriteit. Op basis van risicoanalyses namen we belangrijke maatregelen om onze vertrouwelijke informatie, waaronder persoonsgegevens van inwoners, beter te kunnen beschermen. En daar zijn we nog lang niet mee klaar. Natuurlijk was er per 1 januari 2016 ook de meldplicht datalekken, die werd opgenomen in de Wet bescherming persoonsgegevens (Wbp). Door deze ontwikkelingen gingen we ook (meer) aandacht besteden aan het thema privacy. Veel gemeenten gingen aan de slag met het opstellen van een privacybeleid, verwerkersovereenkomsten en een protocol voor datalekken.
Privacy: een nieuw thema voor gemeenten. Of toch niet..?
Wat mij in die periode is opgevallen, is dat veel gemeenten nog helemaal niet of in beperkte mate met het onderwerp privacy bezig waren. Veel gemeenten hadden – of zelfs hebben – bijvoorbeeld geen juristen binnen de organisatie die zich bezig houden met compliancy aan privacywetgeving. Dit terwijl de Wbp al van kracht is sinds 2001. We werden dus al lang geacht om bijvoorbeeld een privacybeleid te hebben en verwerkersovereenkomsten te hebben afgesloten met externe partijen die persoonsgegevens verwerken. Door de implementatie van de BIG, de meldplicht datalekken en vervolgens de aankondiging van de nieuwe Europese privacywet (de Algemene Verordening Gegevensbescherming, AVG) is het thema ineens ‘top-of-mind’ geworden in gemeenteland.
De implementatie van de AVG: een valse start…?
De AVG is op 25 mei 2016 in werking getreden, maar de wet is van kracht vanaf 25 mei 2018. Dit betekent dat organisaties die persoonsgegevens verwerken, waaronder overheden zoals gemeenten, per 25 mei 2018 moeten voldoen aan de wet. Veel (met name kleinere) gemeenten zijn eigenlijk pas net goed op weg met de implementatie. Wat opvallend is, aangezien ze al anderhalf jaar de tijd hebben gehad voor de implementatie. Het komt vaker voor dat we als gemeenten laat beginnen met dergelijke grote implementatietrajecten. Enerzijds omdat we wellicht niet eerder de middelen vrijgemaakt krijgen vanwege andere prioriteiten. Anderzijds ook omdat we graag wachten op bruikbare formats vanuit bijvoorbeeld de VNG voor de implementatie. We willen immers niet allemaal het wiel opnieuw uitvinden, wanneer we als gemeenten grotendeels voor dezelfde uitdagingen staan. Veel van deze formats zijn pas de laatste paar maanden beschikbaar gekomen.
…Maar nu op volle stoom!
Inmiddels zijn veel gemeenten op volle stoom met de implementatie. De implementatie omvat o.a. het aanstellen van een Functionaris Gegevensbescherming (FG) en het opstellen van registers voor de verwerkingen van persoonsgegevens, de verwerkers en de verwerkersovereenkomsten. Maar ook het uitvoeren van Privacy Impact Analyses (PIA’s) voor bestaande of nieuwe verwerkingen, het herijken van het protocol voor datalekken en het aanpassen van de werkprocessen.
Het is raadzaam om bij deze werkzaamheden de kennis en ervaring die de CISO al heeft opgedaan mee te nemen in het project. En de prioriteit en volgorde van de activiteiten te bepalen op basis van een risicoanalyse en planning. Kennis van de privacywetgeving en van informatievoorziening en ICT zijn onmisbaar voor een succesvolle implementatie van de wet.
Welke veranderingen brengt de AVG?
De AVG moet gemeenten helpen om aantoonbaar in control te zijn over de persoonsgegevens die verwerkt worden binnen de organisatie. Wat daarbij helpt, is de aanstelling van de FG als vooruitgeschoven post van de Autoriteit Persoonsgegevens (AP) en onafhankelijke toezichthouder binnen de gemeente. De FG kan informeren en adviseren binnen de organisatie, maar bijvoorbeeld ook als ombudsman optreden bij vragen, verzoeken of klachten van inwoners. De AVG heeft als gevolg dat inwoners zelf meer handvaten krijgen om regie over hun persoonsgegevens te kunnen uitoefenen. Dit vereist wel dat de werkprocessen, informatiestromen en applicaties binnen de gemeenten erop ingericht zijn om deze transparantie rond inwonergegevens te kunnen bieden. Tegelijkertijd moeten de gegevens afdoende beveiligd en afgeschermd zijn, waardoor dit een uitdaging is. Deze veranderingen bieden ook kansen voor organisaties, bijvoorbeeld om efficiënter te gaan werken en waar mogelijk aan dataminimalisatie te gaan doen op het gebied van (persoons)gegevens. Denk aan het principe van eenmalige registratie en meervoudig gebruik.
Welke uitdaging betekent dit voor gemeenten in 2018?
25 mei 2018 is het al heel snel. Voor veel gemeenten is het te kort dag om dan al volledig volgens de letter van de wet te kunnen werken. Voor grote commerciële organisaties is dit wellicht mogelijk, maar gemeenten zijn complexe organisaties met vaak onvoldoende capaciteit om dan al helemaal AVG-proof te zijn. Daarom is het denk ik een belangrijk streven om vooral al volgens de geest van de wet te willen werken. Om dat te bereiken is met name het kennisniveau en de bewustwording binnen de gehele organisatie over het onderwerp cruciaal. Des te meer omdat we helaas niet ieder proces of iedere applicatie 100% AVG-proof kunnen maken door middel van enkel technische maatregelen.
Hoe neem ik medewerkers mee in de veranderingen?
In de praktijk merk ik dat het met name belangrijk is om medewerkers een afwegingskader mee te geven op basis van de privacywetgeving. Zodat zij zelfstandig en steeds opnieuw afwegingen kunnen maken hoe zij persoonsgegevens verwerken als onderdeel van hun werkzaamheden. Binnen de afdelingen vinden immers de registraties van gegevens en overige verwerkingen van persoonsgegevens plaats. Daarbij maken medewerkers continu lastige afwegingen. ‘Met wie mag ik deze gegevens delen’? En op welke wijze? Waar moet ik ze op slaan en hoe lang mag ik ze bewaren?’. Stap één is om medewerkers daar eens bij stil te laten staan. Zij zullen zien dat er geen ‘trucje’ is waarmee altijd de juiste keuze gemaakt kan worden, want elke casus is weer anders. Wat het extra lastig maakt, is dat het beschermen van de privacy van een inwoner soms conflicterend kan zijn met het kunnen bieden van goede dienstverlening aan een inwoner of zelfs het kunnen waarborgen van de (fysieke) veiligheid van een inwoner. Medewerkers moeten dus goed geëquipeerd zijn om deze soms moeilijke afwegingen zelf te kunnen maken. En kom je daar een keer niet uit als medewerker? Geen nood, dan is er altijd nog de kersverse FG om je te adviseren…
Meer weten?
Voor meer informatie kunt u contact opnemen met Roald Schel, adviseur bij Telengy, via tel. nr. 06 28 42 18 62 of via e-mail: r.schel@telengy.nl.