Nog zeven weken de tijd - Amersfoort is klaar voor de AVG

Nummer 6, 6 april 2018

Auteur: Leo Mudde

De drie letters AVG hangen als een zwaard van Damocles boven de gemeenten. Nog zeven weken, dan moeten zij in kaart hebben gebracht hoe ze met de persoonsgegevens van hun inwoners omgaan. Voor veel gemeenten wordt dat nog een hele klus. Amersfoort is er klaar voor.

De klok tikt langzaam maar onverbiddelijk richting 25 mei. Dan moeten alle gemeenten, net als andere organisaties die met persoonsgegevens omgaan, voldoen aan de nieuwe privacyregels van de AVG, de Algemene verordening gegevensbescherming. De AVG harmoniseert de verschillende regels van de EU-lidstaten en is tevens een ‘update’ van oude wetgeving naar het digitale tijdperk.

Begin februari benadrukte de VNG in een brief aan alle gemeenten het belang van gemeenten om tijdig aan de nieuwe regels te voldoen. Maar uit een (niet-representatieve) enquête concludeerden SC en Gemeente.nu onlangs dat gemeenten maar matig zijn voorbereid op de AVG, met nog slechts een paar weken te gaan. Wie nu nog moet beginnen, is te laat, zegt gemeentesecretaris Herke Elbers van Amersfoort.

Boete

26 mei zal bij achterblijvende gemeenten niet direct een boete op de mat vallen. De Autoriteit Persoonsgegevens (AP) komt alleen in actie wanneer iets ‘evident is fout gegaan’.  Als een gemeente niet klaar is, moet ze in ieder geval een goede reden hebben en kunnen aangeven, wannéér ze dan wel haar zaken voor elkaar heeft. Voor twee dingen zal weinig begrip zijn: als gemeenten op 25 mei nog geen Functionaris Gegevensbescherming hebben, en als ze hun dienstverlening nog niet hebben aangepast aan de rapporten en adviezen van de AP. Maar áls het tot een boete komt, dan is die ook direct torenhoog: tot 20 miljoen euro.

In Sprank, het vakblad voor beslissers in het sociaal domein, relativeerde jurist en AVG-deskundige prof. Gerrit-Jan Zwenne van de Universiteit Leiden de nieuwe regels enigszins: ‘Inhoudelijk gaat er niet verschrikkelijk veel veranderen aan de regels voor het verzamelen, delen en opslaan van de gegevens. De nadruk komt meer te liggen op allerlei formaliteiten. Gemeenten moeten in een register onder andere bijhouden welke gegevens ze verwerken, waar deze vandaan komen, wat ze ermee doen, aan wie ze die verstrekken en hoelang ze worden bewaard. Daar bestaan modellen voor, maar dit is hoe dan ook een flinke klus. Daarnaast moeten ze hun privacyverklaring aanpassen.’

Volgens Zwenne zijn transparantie en duidelijkheid de kernwoorden in de AVG. ‘Dat betekent dat je in eenvoudige taal precies en volledig uitlegt aan je cliënten wat je doet met hun persoonlijke gegevens. Je moet ze ook wijzen op hun recht om gegevens aan te passen, hun dossier in te zien of zelfs te vernietigen.’

Datalek

Die ‘flinke klus’ van het register heeft Amersfoort al geklaard en ook voor het overige is het ruim voor de deadline klaar voor de fatale datum van 25 mei, al zal het werk nooit 'af' zijn. In 2016 werd Amersfoort geconfronteerd met een datalek. Toen kwam een bestand met privacygevoelige gegevens per ongeluk bij een verkeerde ontvanger terecht. Dat incident was een ‘wake-up call’ voor de gemeente. Gemeentesecretaris Herke Elbers: ‘We realiseerden ons des te meer het belang van een zorgvuldige omgang met gegevens en zijn snel gestart met een breed traject om herhaling te voorkomen. Het Register, dat nu verplicht wordt voor alle gemeenten, was daar onderdeel van.’
Het datalek was echt een belangrijk issue in Amersfoort, zegt ze. De kwestie werd breed uitgemeten in de pers, de gemeenteraad ging in het kielzog daarvan ook los op het onderwerp. ‘Het voordeel van de commotie was dat het ieders aandacht had, ook hier intern, bij de medewerkers.’

De decentralisaties zorgden nog eens voor een extra hausse aan persoonsgegevens in de systemen van de gemeente die veel verder gingen dan NAW-gegevens, geboortedata en burgerlijke stand.  Dat zorgde al voor extra aandacht, maar mede dankzij het ‘lek’ staat privacy bij alle medewerkers van Amersfoort nu op het netvlies gebrand. 

Elbers, over de totstandkoming van het Amersfoortse ‘Register van verwerkingsactiviteiten’: ‘We hebben alle, maar dan ook echt alle afdelingen gevraagd hun processen in kaart te brengen en aan te geven welke persoonsgegevens zij gebruiken en wat ze ermee doen. Dat varieerde van het uitgeven van een paspoort tot bijvoorbeeld een melding openbare ruimte. Het principe is: gegevens die we niet nodig hebben, vragen we niet. Vroeger was het standaard om een burgerservicenummer te registreren maar voor veel processen is dat helemaal niet nodig. Die overbodigheid is eruitgehaald.’

Toetsen

De inbreng van alle afdelingen werd de basis voor het Register waarover elke gemeente straks moet beschikken (zie kader). Naast de verplichte informatie voegde Amersfoort nog extra kolommen toe, om een breder overzicht te krijgen en om te kunnen toetsen of aan de beginselen en verplichtingen van de AVG wordt voldaan. Dit zorgt ervoor dat de organisatie daadwerkelijk controle krijgt over de verwerking van de persoonsgegevens.

In Nederland is privacy een belangrijk thema. ‘Nederlanders, ook gemeenten, gaan strikter om met persoonsgegevens dan onze buren. Ik was onlangs in Lille, in Frankrijk. Daar moest ik bij een museum voor de audiotour mijn paspoort afgeven, als borg. Maar Nederlanders mógen hun paspoort helemaal niet afgeven. Nou, ga dat maar eens uitleggen in je beste Frans.’

Het thema van de privacy trekt diepe sporen door de gemeentelijke organisatie. Met workshops en werkoverlegvormen wordt gewerkt aan de bewustwording onder de medewerkers, er zijn e-learningtools ontwikkeld en protocollen zijn aangepast.

Vergeetrecht

Een van de dingen waaraan de gemeenten moeten wennen, is dat hun inwoners daadwerkelijk inzage krijgen in het gebruik van hun gegevens. ‘Iedereen kan het register straks inzien’, zegt Elbers. ‘Mensen kunnen zien wat er met hun informatie wordt gedaan, en met welk doel. Ze hebben straks ook het recht vergeten te worden en hun dossier te laten vernietigen. Het klinkt misschien eenvoudig, maar er zit voor de organisatie veel achter, het register moet permanent onderhouden worden.’

Bij het werken aan het register kwam Amersfoort erachter dat er meer dan 500 werkprocessen waren. Voor elk daarvan moesten in het register 26 velden worden ingevuld en moest worden nagegaan wat de wettelijke grondslag was. Elbers: ‘Echt monnikenwerk. Maar we hebben nu wel goed in beeld wat we hier in huis allemaal doen.’

Is het werk nu af? ‘Nee, dit onderwerp is nooit af. Om een voorbeeld te noemen, op het gebied van openbare orde en veiligheid is nog niet helemaal duidelijk wat de wettelijke grondslag voor de verwerking is. Landelijk zal hier nog naar gekeken moeten worden. Dat raakt aan het handelen van de burgemeester. Dat kunnen nog boeiende discussies worden.’

‘To do’ lijstje voor 25 mei


Dit zijn de zes AVG-maatregelen waar gemeenten op 25 mei ten minste aan moeten voldoen:

  • Beschikken over een Register van verwerkingsactiviteiten.
  • Kunnen uitvoeren van een data protection impact assessment (DPIA) voor gegevensverwerkingen met een hoog privacyrisico.
  • Beschikken over een register van opgetreden datalekken.
  • Kunnen aantonen dat een betrokkene daadwerkelijk toestemming heeft gegeven voor een gegevensverwerking wanneer daarvoor toestemming nodig is.
  • Een Functionaris Gegevensbescherming hebben aangesteld en aangemeld bij de Autoriteit Persoonsgegevens.
  • Beschikken over een procedure voor inzage in persoonsgegevens.

Meer informatie via de VNG en de Autoriteit Persoonsgegevens.