Print:

Bouwen aan een betere privacybescherming

Ferry Waterkamp , Journalist

LinkedIn profiel

Er zijn weinig organisaties die over zoveel persoonsgegevens beschikken als gemeenten. Decentralisaties van zorg, werk en jeugdhulp hebben er zelfs voor gezorgd dat gemeenten over nog meer ‘bijzondere persoonsgegevens’ beschikken dan voorheen. “De privacy van deze data moet goed geborgd zijn”, zegt Erika Steenbrink, Privacy Officer en Adviseur Security bij de gemeente Ede. “De AVG is een mooie kapstok om de bescherming van die gegevens opnieuw neer te zetten.

De gemeente Ede startte ongeveer twee jaar geleden met de voorbereidingen op de Algemene Verordening Gegevensbescherming die op 25 mei 2018 de Wet bescherming persoonsgegevens vervangt. Een eerste stap was het formeren van een ‘privacydriehoek’ bestaande uit een Privacy Officer, een juridisch adviseur en een adviseur informatiebeveiliging. Privacy Officer Steenbrink bekleedt binnen deze driehoek de rol van Functionaris Gegevensbescherming die overheden verplicht zijn om aan te stellen. “Als FG vervul ik de toezichthoudende rol op het gebied van privacy en security.”

Raamwerk VNG

“Wij hebben als uitgangspunt het raamwerk van de Vereniging van Nederlandse Gemeenten genomen om onze voorbereiding op de AVG aan op te hangen”, zo vertelt Steenbrink over de activiteiten van de driehoek. Het raamwerk waaraan Steenbrink refereert, bestaat uit de gebieden governance, beleid, werkprocessen en triage, bewustwording en training en beheer en opslag gegevens. “Hier hebben we de AVG op geplot.”

Op het gebied van governance moet bijvoorbeeld duidelijk worden wie verantwoordelijk is voor de bescherming van persoonsgegevens. “Bij een datalek wordt al snel gewezen naar de IT-afdeling, terwijl de afdeling waar gegevens ‘ontstaan’ verantwoordelijk blijft voor de verwerking van die gegevens. Die verantwoordelijkheid moet je goed beleggen, zeker in een organisatie met misschien wel veertig verschillende afdelingen en processen die betrekking hebben op meerdere afdelingen.”

Goed beeld

Om zichzelf op de kaart te zetten en het beveiligingsbewustzijn aan te wakkeren, is de privacydriehoek actief de organisatie in gegaan. “Het begint bij bewustzijn”, aldus Steenbrink. Ook is gekeken waar veel persoonsgegevens worden verwerkt, en waar nog veel moet gebeuren om de bescherming op niveau te krijgen. “Om te weten te komen waar we nog een tandje bij moeten zetten, hebben we een nulmeting uitgevoerd zodat we een goed beeld hebben van wat er nog moet gebeuren.”

“We weten nu hoe de organisatie in elkaar zit, waar de afdelingen staan en waar we naartoe moeten groeien”, vervolgt Steenbrink. “We stellen nu een beleid op dat we ook op het niveau van clusters en afdelingen doorvertalen. Daarna is het zaak om met z’n allen te gaan bouwen aan een betere bescherming van persoonsgegevens. Ik ben daarin overigens niet diegene die bepaalt, want ik moet uiteindelijk wel onafhankelijk toezicht kunnen houden. Het staat ook expliciet omschreven dat ik als Functionaris Gegevensbescherming niet verantwoordelijk ben voor de bescherming van persoonsgegevens.”

Goed op weg

De gemeente Ede is volgens de Functionaris Gegevensbescherming in haar voorbereiding op de AVG al ‘goed op weg’. “Het zijn rijdende treintjes”, zo zegt Steenbrink over de verschillende activiteiten die de gemeente Ede ontplooit. “Privacy is niet nieuw. Ook de Wet bescherming persoonsgegevens bestaat al wat langer. Een compliancetraject voor de AVG doe je er echter niet zo maar ‘eventjes bij’. Je moet daar echt tijd en geld voor beschikbaar hebben. Heb je dat niet, dan kom je er uiteindelijk wel, maar niet voor 25 mei 2018.”

AVG IIR

Meer weten over hoe u zich voorbereidt op de AVG? Bezoek dan op 16 mei het IIR-congres ‘Voorbereidingen Algemene Verordening Gegevensbescherming’. Privacy Officer Erika Steenbrink van de gemeente Ede leidt tijdens deze dag een rondetafeldiscussie.