Print:

Need- to-knows van gemeenten over AVG-compliance

Redactie IIR, Trainingen en congressen

LinkedIn profiel

Veel gemeenten maken zich zorgen over de manier waarop de Autoriteit Persoonsgegevens (AP) de Algemene verordening gegevensbescherming (AVG) gaat handhaven. Privacyprofessionals uit drie gemeenten delen hun praktijkervaringen over AVG-compliance.

“Toezichthouder pakt gemeenten zonder FG aan.” Dat kopte Binnenlands Bestuur in maart naar aanleiding van interviews met de AP. Volgens een woordvoerder van de AP zal de toezichthouder haar handhavende capaciteit in de eerste periode na het van kracht worden van de AVG vooral inzetten voor controles van de aanwezigheid van de Functionaris voor de Gegevensbescherming (FG). Met de komst van de AVG zijn overheidsinstanties verplicht om een FG – een interne privacytoezichthouder – aan te stellen.

FG in de publieke sector | IIRDe verwachting van Binnenlands Bestuur is dat de AP zich bij het controleren van AVG-compliance bij gemeenten niet alleen zal richten op handhaving, maar ook op voorlichting, ondersteuning en advies. Een gemeente die niet voldoet aan alle eisen uit de nieuwe wet, maar wel op de goede weg is – en daarbij kan aangeven wanneer de AVG-compliance wel helemaal op orde is – kan waarschijnlijk op enige coulance van de toezichthouder rekenen. Zoals AP-voorzitter Aleid Wolfsen het tegenover Binnenlands Bestuur verwoordde: “Het is natuurlijk een ander verhaal wanneer er sprake is van opzettelijke of ernstige misstanden. Maar we moeten ons realiseren dat we aan het begin staan van een proces waarbij veel organisaties en bedrijven bezig zijn om het goed te regelen.”

Als gemeente nog druk bezig om AVG-proof te worden? Drie tips van de FGs van Ede, Utrecht en Tilburg.

1. Formeer een privacydriehoek

Een privacydriehoek formeren, bestaande uit een Privacy Officer, een juridisch adviseur en een adviseur informatiebeveiliging. Het was een van de eerste acties die Erika Steenbrink, Privacy Officer en Adviseur Security bij de gemeente Ede, ondernam toen in 2015 de voorbereidingen op de AVG van start gingen. De privacydriehoek vertegenwoordigt interne experts uit verschillende disciplines, die door de bundeling van hun expertise en krachten de uitdagingen van de AVG te lijf gaan. “Wij hebben als uitgangspunt het raamwerk van de Vereniging van Nederlandse Gemeenten genomen om onze voorbereiding op de AVG aan op te hangen”, zo vertelt Steenbrink over de activiteiten van de driehoek. Het raamwerk waaraan Steenbrink refereert, bestaat uit vijf onderling samenhangende gebieden: governance, beleid, werkprocessen en triage, bewustwording en training, en beheer en opslag van gegevens. Volgens de VNG behoren deze vijf terreinen tot de randvoorwaarden om privacy goed te regelen.

Om dataprotectie op de kaart te zetten en het beveiligingsbewustzijn te vergroten, is de privacydriehoek actief de organisatie in gegaan. Ook is gekeken waar veel persoonsgegevens worden verwerkt, en waar nog veel moet gebeuren om de bescherming op niveau te krijgen. “Om te weten te komen waar we nog een tandje bij moeten zetten, hebben we een nulmeting uitgevoerd zodat we een goed beeld hebben van wat er nog moet gebeuren. We weten nu hoe de organisatie in elkaar zit, waar de afdelingen staan en waar we naartoe moeten groeien.”

2. Maak werk van awareness

De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) verplicht gemeenten al om te investeren in de privacy- en security-awareness binnen de organisatie. De AVG zet het onderwerp nog nadrukkelijker op de agenda. Hans van Impelen, FG van de gemeente Utrecht, heeft inmiddels uitgebreid ervaring opgedaan met wat wel en niet werkt binnen privacy- en security-awarenessprogramma’s. Een van zijn leerpunten: het is niet zinvol om trainingen verplicht te stellen. Het werkt beter om de werkvloer te overtuigen van de noodzaak van scholing. Bijvoorbeeld door concrete voorbeelden te geven van wat er mis kan gaan als er te weinig aandacht is voor privacy en security. “Deel goede en slechte voorbeelden en mensen worden nieuwsgierig. Die voorbeelden kunnen een eyeopener zijn waardoor men sneller geneigd is om deel te nemen aan de sessies.” Is er eenmaal enthousiasme voor het thema, dan is het zaak om ook de positieve kanten van de AVG goed voor het voetlicht te brengen. “Aan een verhaal met alleen ‘dit mag niet, dit kan niet’ heeft niemand iets. Geef ook aan wat er onder de geldende security- en privacywetgeving nog altijd wél mogelijk is.”

Van Impelen heeft ook een tip voor gemeenten die er rekening mee houden dat het verbeteren van de privacy- en security-awareness binnen een organisatie een lange adem vereist. “Dan is het belangrijk dat je niet iedere keer hetzelfde verhaal afsteekt, maar steeds op een andere manier je boodschap probeert over te brengen. Zet bijvoorbeeld ook filmpjes in, of maak gebruik van een mystery guest die binnen probeert te komen.”

3. Zie AVG-compliance als een continu proces

Gaat 25 mei 2018 de geschiedenisboeken in als een mijlpaal in de ontwikkeling van het privacyrecht? Dat kan zo zijn, maar volgens jurist en privacyadviseur van de gemeente Tilburg Simone Fennell is het waarborgen van privacy op de langere termijn minstens zo belangrijk. “Het grote probleem is dat veel organisaties de afgelopen jaren onder de Wet bescherming persoonsgegevens te weinig aandacht hebben besteed aan privacy. Ze weten bijvoorbeeld niet welke gegevens ze in huis hebben en hoe ze die verwerken.” Als die basisinzichten ontbreken, wordt het lastig om te voldoen aan basisbeginselen van de AVG zoals de verantwoordingsplicht.

Organisaties die nu in opperste staat van paniek de achterstanden proberen in te lopen, doen er volgens Fennell goed aan om ook de blik verder vooruit te werpen. “De deadline van 25 mei 2018 is zeker belangrijk, maar nog belangrijker is dat je kunt laten zien dat je bezig bent met privacybescherming op de lange termijn. Dat is beter dan nu houtje-touwtje alles aan elkaar knopen om maar op tijd klaar te zijn.”

Meer inzichten, leerervaringen en tips horen van FGs die binnen de overheid dagelijks aan de slag zijn met de AVG? Volg dan de IIR-praktijkcursus FG in de publieke sector. In deze vierdaagse training staat onder andere een unieke sparsessie over privacybeleid en -strategie op het programma. Daarin geven doorgewinterde FGs – werkzaam bij onder andere de gemeenten Utrecht en Amsterdam – antwoorden op al uw vragen.

FG/DPO in de publieke sector

Meer informatie?

Laat uw e-mail achter en ontvang de brochure direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten