Print:

Privacy-awareness creëert kansen voor compliance

De AVG roept nogal eens vragen en discussies op over de verwerking en beveiliging van persoonsgegevens. Ellen van Tilburg-Suy, Functionaris voor de Gegevensbescherming van de gemeenten Boxmeer en Sint Anthonis, ziet ook de positieve spin-offs van de maatschappelijke en politieke awareness.

Voor de Noord-Brabantse gemeente Boxmeer creëerde de overgang van de Baseline Informatiebeveiliging Gemeenten (BIG) naar de Baseline Informatiebeveiliging Overheid (BIO) een fundament voor de implementatie van de Algemene verordening gegevensbescherming (AVG). Binnen de informatiebeveiligingsdienst die zich bezighield met de komst van de BIO, die voor gemeenten met ingang van 1 januari 2020 de BIG vervangt, stonden dataprotectie en privacy hoog op de agenda.

Ellen van Tilburg-Suy | IIR“De informatiebeveiligingsdienst heeft alle interne betrokkenen – bijvoorbeeld van de afdelingen ICT, P&O en Burgerzaken – bij elkaar gebracht om de informatiebeveiliging inzichtelijk en beheersbaar te maken”, vertelt Ellen van Tilburg-Suy, Functionaris voor de Gegevensbescherming (FG) van de gemeenten Boxmeer en Sint Anthonis en een van de deelnemers aan een paneldiscussie over de AVG tijdens het Dataprotectie en Privacy Congres. Van Tilburg werkte aanvankelijk als senior human resources advisor bij de gemeente Boxmeer, en bekleedde eerder HR-functies bij onder andere Agis Zorgverzekeringen, het ministerie van Defensie en DLL.

“De voorbereidingen op de BIO zijn nauw aangesloten op de implementatie van de AVG”, zegt Van Tilburg, die sinds 2015 is betrokken bij de informatiebeveiligingsdienst betrokken en in 2018 is aangesteld als FG. “De informatiebeveiligingsdienst heeft in een strategisch plan aangegeven hoe we als gemeente te werk gaan om de informatiebeveiliging op niveau te houden. Deze strategie is vertaald naar tactisch beleid met concrete maatregelen voor bijvoorbeeld awareness en veilig gedrag op de werkvloer. Hierbij zijn ook de nieuwe verplichtingen uit de AVG meegenomen.”

AVG-kramp

Met de komst van de AVG is de aandacht voor privacy en informatiebeveiliging veel groter geworden, signaleert Van Tilburg. “Voorheen was het soms best lastig om de uitvoering van het beleid in de lijn te brengen. Maar rond de invoering van de AVG was er veel media-aandacht voor het thema privacy en kwamen er ook regelmatig vragen van de gemeenteraad, burgers en ondernemers. Bijvoorbeeld over de manier waarop wij als gemeenten omgaan met beveiliging van persoonsgegevens, de afhandeling van datalekken en het voorkomen van hacks.” Eerder dit jaar meldde de gemeente Boxmeer zelf een datalek bij de Autoriteit Persoonsgegevens, omdat een e-mail met gegevens van 216 uitkeringsgerechtigden verkeerd was verstuurd.

De toegenomen privacy-awareness kan nog wel eens leiden tot wat Van Tilburg “een AVG-kramp” noemt. “Na een incident bij een gemeente of een andere overheidsorganisatie vragen bestuurders en raadsleden zich direct af: hoe hebben wij dataprotectie eigenlijk geregeld en welke acties ondernemen wij om datalekken te voorkomen? De politiek vindt de AVG ook best een gedoe. Als gemeente werken we veel met ketenpartners en convenanten. Dat roept de vraag op: wat mag er eigenlijk precies onder de AVG?”

Ook bij medewerkers van de gemeenten spelen vragen en zorgen. “Medewerkers zijn zich steeds beter bewust van de regels uit de AVG, maar denken soms ten onrechte dat bepaalde gegevensuitwisselingen niet meer mogen. Of ze zijn bang dat ze iets doen dat niet in lijn is met de wet.”

Verbeteren door vragen

Van Tilburg vindt dat de maatschappelijke en politieke discussies over dataprotectie ook een positieve spin-off hebben. “We krijgen als privacyteam dankzij de actuele discussies makkelijker een podium om te laten zien waar we voor staan en het belang van het thema privacy voor het voetlicht te brengen.”

De vragen van interne en externe partijen houden het privacyteam ook scherp, zegt Van Tilburg. “Je kunt natuurlijk niet alle facetten van de AVG direct grondig aanpakken. We hebben de gegevensverwerkingen in alle processen in de organisatie inzichtelijk gemaakt en kijken vervolgens naar de kansen om verbeteringen door te voeren. De vragen van raadsleden en burgers geven een extra stimulans aan de organisatie om de compliance op orde te brengen. We worden daardoor gedwongen om onszelf steeds de vraag te stellen waarom we de dingen doen zoals we doen, en om beleidskeuzes te onderbouwen. Bovendien zorgen de vragen ervoor dat we vanuit verschillende perspectieven naar het vraagstuk van compliance kijken.”

Hoe zijn Van Tilburg en haar collega’s binnen de informatiebeveiligingsdienst omgegaan met de vele discussies, vragen, onzekerheden en zorgen? “Mijn collega’s en ik hebben heel veel gelegenheden aangegrepen om te vertellen over de impact van de AVG en om een toelichting te geven op onze aanpak. Onze boodschap naar collega’s is steeds: blijf gewoon je werk doen. Want het is natuurlijk niet zo dat er vanwege de AVG opeens allerlei dingen niet meer mogen.”

Aan de voorkant aan tafel

Een belangrijke opgave is nu om de focus te houden op een groei in privacyvolwassenheid, zegt Van Tilburg. “Vorig jaar leefden er veel vragen en was er veel belangstelling voor de gevolgen van de AVG voor de alledaagse werkpraktijk. We hebben ook veel geïnvesteerd in bewustwordingscampagnes en kennisoverdracht. Maar de aandacht dreigt toch al snel te verslappen.”

Daarnaast merkt Van Tilburg dat AVG-compliance nog niet altijd in het DNA van de organisatie zit. “Er heerst nog wel eens het idee dat de FG de zaken wel oplost. Maar de compliance behoort natuurlijk een onderdeel te zijn van de bedrijfsvoering. De FG toetst vervolgens de regelnaleving. De verantwoordelijkheid voor de naleving hoort echt binnen de lijn te zijn belegd, zodat de compliance integreert in het reguliere proces.” Bij de gemeenten Boxmeer en Sint Anthonis heeft dataprotectie inmiddels een plek gekregen in de planning- en controlecyclus.

Hoewel het werk van de FG in belangrijke mate te maken heeft met controlerende taken, past daar volgens Van Tilburg ook een adviesrol bij. “De toezichthoudende rol wordt belangrijker naarmate de organisatie groeit in privacyvolwassenheid. Het is tot die tijd helemaal niet verkeerd om aan de voorkant al aan tafel te zitten. Bijvoorbeeld door mee te kijken bij de conclusies van een data protection impact assessment (DPIA). Op die manier kan je soms meer betekenen voor de naleving dan als je achteraf controleert en dan gaat zeggen dat iets niet goed is verlopen. Adviseren is wat mij betreft soms ook een kwestie van een paar rake vragen stellen, die collega’s triggeren om goed na te denken over waar ze mee bezig zijn en aandacht te besteden aan privacyvraagstukken bij de plannen die ze maken. De FG geeft dan vooral een denkrichting aan, niet een kant-en-klare oplossing.”

Vragen bij de techniek

De mogelijkheden om nieuwe (data)technologie in te zetten voor de gemeentelijke aanpak van maatschappelijke vraagstukken zoals veiligheid en duurzaamheid lijken eindeloos. Daar krijgt ook de FG mee te maken, merkt Van Tilburg. “Ambtenaren, bestuurders en raadsleden komen regelmatig met ideeën en plannen die vragen oproepen over dataprotectie. Denk aan lantaarnpalen die pas aangaan als er iemand langskomt, wifi-tracking bij winkels, of een fietspad dat accu’s van elektrische fietsen kan opladen. Technisch is er zo veel mogelijk. Ik zie het als mijn rol om daarbij kritische vragen te stellen. Welke persoonsgegevens worden er verwerkt, hoe gaan medewerkers ermee om, hoe is de beveiliging geregeld? Maar ook: is de organisatie er klaar voor, wat doet het met onze dienstverlening, zijn we ons bewust van de risico’s? De antwoorden op deze vragen geven een goede indicatie van de privacyvolwassenheid van de organisatie. En de issues maken wat mij betreft duidelijk wat een mooi vak de FG toch heeft.”

 

Meer weten over de impact van dataprotectie op de organisatie? Ontmoet Ellen van Tilburg-Suy en vele andere experts op 14 en 15 november in Utrecht tijdens het Dataprotectie & Privacy Congres. Bekijk het gehele programma en boek tickets via de website van IIR.

Meer informatie?

Laat uw e-mail achter en ontvang de brochure direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten