In een notendop

De AVG is een Europese verordening die rechtstreekse werking heeft in de EU-lidstaten. Dat betekent dat deze verordening niet hoeft te worden omgezet in een nationale wet.

De AVG is een set open normen en heeft 2 doelen:

• De bescherming van persoonsgegevens.
• Het mogelijk maken van het vrije verkeer van persoonsgegevens binnen de EU.

Daarom moeten gemeenten bij het verwerken van persoonsgegevens voortdurend een afweging maken tussen de belangen van de personen van wie de gemeente persoonsgegevens verwerkt (inwoners, medewerkers) en de belangen van de gemeente (het uitvoeren van gemeentelijke taken). Bij het verwerken van persoonsgegevens moet de gemeente zich dus de hele tijd de vraag stellen: wat is onze taak, wat is het doel, is er een grondslag en is er een noodzaak?

Gemeenten zijn op grond van de AVG verplicht om verantwoording af te leggen over de verwerking van persoonsgegevens: welke maatregelen hebben gemeenten genomen om de gegevens van de betrokkenen te beschermen? Gemeenten moeten ook transparant zijn over welke persoonsgegevens ze verwerken en waarom. Ter ondersteuning van de verantwoordingsplicht heeft de AVG een aantal (verplicht voorgeschreven) instrumenten:

• het opzetten en bijhouden van een verwerkingsregister
• het uitvoeren van gegevensbeschermingeffectbeoordelingen (DPIA’s)
• het toepassen van privacy by design/default-principe
• het zorgen voor een effectieve informatiebeveiliging
• de verplichting om datalekken te melden
• het aanwijzen van een functionaris voor gegevensbescherming

Daarnaast hebben inwoners op grond van de AVG rechten, zoals recht op inzage, bezwaar, vergetelheid en rectificatie.

Wie is er verantwoordelijk voor de gegevensbescherming binnen de gemeente?

Het college van B en W is verantwoordelijk voor de bescherming van alle gemeentelijke verwerkingen van persoonsgegevens. Het bestuur moet hier ‘in control’ over zijn. Ook als de gemeente nog niet volledig aan alle AVG vereisten voldoet, is het van groot belang dat het college ‘in control’ is over wat de resterende werkzaamheden zijn.

Het college is daarom verantwoordelijk voor het inzetten van de hierboven genoemde instrumenten. Daarbij moet het college de inwoners en de gemeenteraad ook duidelijkheid verschaffen over de gemeentelijke koers van de verwerking van persoonsgegevens. Het college moet daarom in beleid tot uitdrukking brengen welke principes de gemeente hanteert ten aanzien van de verwerking van persoonsgegevens. Dit beleidsplan legt het college ter goedkeuring voor aan de gemeenteraad.

Alle gemeenten hebben een functionaris voor de gegevensbescherming en vaak één of meerdere privacy officers en/of privacy sleutelpersonen/ambassadeurs. Deze medewerkers zorgen ervoor dat de gegevensbescherming in een gemeente zo goed mogelijk is geborgd.

De FG is de onafhankelijke interne toezichthouder, die controleert of de organisatie de AVG goed toepast en ziet erop toe dat betrokkenen hun privacyrechten kunnen uitoefenen. De FG maakt ieder jaar een jaarverslag. Hierin staat of en zo ja, in hoeverre de gemeente voldoet aan de eisen die de AVG stelt, welke stappen de gemeente nog moet zetten en wat de aanpak en planning is om aan de eisen van de AVG te voldoen. De FG legt dit jaarverslag voor aan het college en de gemeenteraad. Indien nodig moet het college hierop actie ondernemen.

Governance

Het invoeren van de hiervoor genoemde instrumenten gebeurt - in de ideale situatie - in de vorm van een proces waarbij de hele ambtelijke organisatie wordt betrokken (een situatie waarin alleen een FG of IT-afdeling met de implementatie bezig is, is minder ideaal). Het proces is in feite een privacy bewustwordingsproces.

Wat daarbij belangrijk is om te weten, is dat de maatregelen die elke gemeente hoort te nemen risicogebaseerd zijn: hoe groter de privacyrisico’s (de kans dat de gemeente een verwerking niet transparant, onbehoorlijk of onrechtmatig uitvoert), hoe meer maatregelen de AVG van de gemeente verwacht om zo de risico’s voor de betrokkenen terug te brengen tot een aanvaardbaar niveau.

Het borgen van privacy is zodoende een continu proces. Het gaat niet om het eenmalig treffen van een aantal privacymaatregelen. Verwerkingen van gegevens, doelgroepen, technische mogelijkheden, privacyregels, en maatschappelijke opvattingen kunnen veranderen. De effectiviteit van de maatregelen moet daarom regelmatig worden beoordeeld en waar nodig aangepast.

Controle door de raad

De gemeenteraad moet controleren of het college ‘in control’ is bij de uitvoering van de AVG. De gemeenteraad kan daarvoor de volgende vragen stellen:

• Zijn er bij de start van een nieuw traject risico’s ten aanzien van de gegevensbescherming? Zo ja, worden er voldoende maatregelen genomen?
• Is privacy geborgd in alle gemeentelijke werkprocessen? Zo ja, kan het college dat ook aantonen?​
• Worden de hierboven genoemde instrumenten ook daadwerkelijk ingezet, zodat risico’s die verbonden zijn aan de verwerking van persoonsgegevens niet hoog zijn?
• Gebruikt de gemeente het Borgingsproduct van de VNG om te monitoren wat de stand van zaken is t.a.v. de gegevensbescherming?
• Komt de FG jaarlijks langs om een toelichting op zijn jaarverslag te geven?
• Welke gegevensbeschermingsincidenten hebben zich het afgelopen jaar voorgedaan en wat heeft de gemeente daarvan geleerd? 

De implementatie van de AVG voor gemeenten is een complexe en tijdrovende zaak is die zeer serieus moet worden genomen.

Meer informatie

• Informatiebeveilingsdienst
• Privacy en AVG (video) gedateerd, maar inhoudelijk nog steeds goed.
• Autoriteit Persoonsgegevens: Gemeente en privacy: wat kunt u als raadslid doen?
• Autoriteit Persoonsgegevens: Gemeente en Privacy: wat kunt u als raadslid doen bij de inzet van technologie?
• Autoriteit Persoonsgegevens: Gemeente en privacy: wat kunt u doen als raadslid bij samenwerkingsverbanden