Raadgever Algemene verordening gegevensbescherming (AVG)

Geregeld komen organisaties in het nieuws omdat persoonsgegevens op straat liggen door een datalek. Dat overkomt ook gemeenten. Het is een inbreuk op de privacy van de burgers en een strop voor de gemeente. Die wordt geconfronteerd met negatieve publiciteit, imagoschade, hoge kosten en eventuele boetes. Hoe kun je het voorkomen?

Datalekken zijn nooit helemaal te voorkomen, maar gemeenten kunnen hun organisatie wel zo inrichten dat de kans zo klein mogelijk wordt. Een extra zetje om dit te doen is dat op 25 mei 2018 de Algemene verordening gegevensbescherming (AVG) ingaat. Deze verordening komt in de plaats van de huidige Wet bescherming persoonsgegevens (Wbp).

De AVG

De AVG is een Europese verordening die rechtstreeks doorwerkt in de nationale wetgeving van de EU-lidstaten. Dat betekent borging op Europees niveau van onze gemeenschappelijke normen op het gebied van privacy en gegevensbescherming.

De AVG heeft twee doelen. De eerste gaat over de bescherming van persoonsgegevens. De tweede  is het mogelijk maken van het vrije verkeer van persoonsgegevens binnen de EU. Aan de ene kant bescherming, en de andere kant het vrij kunnen stromen van gegevens. Dit lijkt tegenstrijdig maar het gaat in feite over een voortdurende afweging tussen de belangen van de personen over wie persoonsgegevens verwerkt worden (burgers, klanten) en de belangen van de organisaties (zoals gemeenten) die gegevens verwerken. Privacy en gegevensbescherming zijn grondrechten en die kunnen worden beperkt als dat noodzakelijk is. Dit was al zo onder de huidige Wet bescherming persoonsgegevens en dat blijft zo onder de AVG. Ook de regels voor gegevensbescherming blijven hetzelfde. Die regels gaan over wanneer je welke gegevens voor welk doel mag verwerken, en met wie je ze mag delen (doel, grondslag, noodzaak).

Wat is nieuw?

Onder de AVG zijn organisaties, zoals gemeenten, verplicht om hun organisatie zo in te richten dat de privacyregels structureel worden nageleefd, en dat organisatie dit kan verantwoorden en bewijzen. Dat anders inrichten van de eigen (gemeentelijke) organisatie vereist een grote inspanning en vaak zelfs een cultuuromslag. Daarnaast krijgen betrokkenen (zoals burgers) een sterkere rechtspositie als het gaat om inzage in en rectificatie van de verwerking van persoonsgegevens. Nieuwe rechten zijn het recht op dataportabiliteit en het recht om vergeten te worden.

Hoever gemeenten zijn

Gemeenten zijn, net als andere organisaties, intensief bezig met de implementatie van de AVG. Desondanks staan zij nog voor een aanzienlijke uitdaging  om voor de datum van inwerkingtreding te voldoen aan alle vereisten van de AVG. Dat is met name te wijten aan het feit dat de AVG open normen bevat en er geen memorie van toelichting aanwezig is die uitleg geeft bij de diverse artikelen. Wel zijn er overwegingen bij elk artikel. Ook is er (nog) geen jurisprudentie die richting geeft. Voorts is de Uitvoeringswet AVG nog niet vastgesteld. Dit alles bij elkaar maakt dat organisaties nog niet voor alle maatregelen goed weten hoe deze binnen de eigen organisatie te operationaliseren om te voldoen aan de AVG. Dit is met name zichtbaar bij de toepassing van het principe van privacy by design/default bij het ontwerp van processen, systemen en applicaties en de technische inrichting van rechten van betrokkenen.
Voor het beheerst toegroeien naar een situatie die de AVG volledig ondersteunt, ligt de verantwoordelijkheid bij bestuurders. Verantwoording en transparantie zijn hier belangrijk. Dit kan in de vorm van een duidelijk en concreet plan, waarin inzichtelijk is welke stappen er nog gezet moeten worden, wat de aanpak en planning is. Juist als nog niet aan alle AVG vereisten volledig wordt voldaan, is het van groot belang om ‘in control’ te zijn over de resterende werkzaamheden.

De Autoriteit persoonsgegevens

De Autoriteit persoonsgegevens heeft al geruime tijd extra aandacht voor gemeenten, vooral voor privacy in het sociaal domein . Daar worden de meeste gevoelige persoonsgegevens verwerkt en bevinden zich de grootste privacy risico’s. Geadviseerd wordt om privacy in dit domein als eerste goed te regelen. Mocht de Autoriteit persoonsgegevens van oordeel zijn dat dit niet het geval is, of dat er op andere onderwerpen sprake is van ernstige nalatigheid in de nakoming van AVG-verplichtingen, dan kunnen er forse boetes worden opgelegd.  Naast alle andere goede redenen, ook hierom dus goed om dit onderwerp hoog op de bestuurlijke agenda te zetten.

Wat is goed privacymanagement?

In het kort gaat het bij privacymanagement om alle maatregelen die genomen worden om ervoor te zorgen dat de AVG-regels worden nageleefd en dat daarover verantwoording kan worden afgelegd. Bij veel gemeenten is de IT-afdeling daar al druk mee bezig, al dan niet samen met een privacy-officer of functionaris gegevensbescherming (FG). Maar dit is niet genoeg. De implementatie van de AVG moet doordringen in alle lagen van de gemeentelijke organisatie, van de baliemedewerker tot aan de burgemeester. Daarvoor is het college van B en W verantwoordelijk.

Ter ondersteuning van de verantwoordingsplicht van het college van B en W bevat de AVG een aantal (verplicht voorgeschreven) instrumenten:

  • de aanwijzing van een functionaris voor gegevensbescherming
  • het opzetten en bijhouden van een verwerkingsregister
  • het uitvoeren van een privacy impact assessment
  • toepassen van privacy by design/default-principe
  • informatiebeveiliging
  • de meldplicht datalekken

Bewustwording

Het invoeren van de hiervoor genoemde instrumenten gebeurt - in de ideale situatie - in de vorm van een proces waarbij de hele ambtelijke organisatie wordt betrokken (een situatie waarin alleen een FG of IT-afdeling met de implementatie bezig is minder ideaal). Het proces is in feite een privacy bewustwordingsproces. Het college van B en W is eindverantwoordelijk en kan een deel van die verantwoordelijkheid delegeren aan lijnmanagers en procesmanagers, die vervolgens de professionals op de werkvloer aansturen. Het proces zal hier niet gedetailleerd worden besproken. Wat wel belangrijk is om te weten, is dat de maatregelen die elke gemeente hoort te nemen risicogebaseerd zijn: hoe groter de privacyrisico’s (de kans dat de gemeente een verwerking niet transparant, onbehoorlijk of onrechtmatig uitvoert), hoe meer maatregelen de AVG van de gemeente verwacht.

Het borgen van privacy is een ongoing process

Het gaat niet om het eenmalig treffen van een aantal privacymaatregelen. Verwerkingen van gegevens, doelgroepen, technische mogelijkheden, privacyregels, en maatschappelijke opvattingen kunnen veranderen. De effectiviteit van de maatregelen moet daarom regelmatig worden beoordeeld en waar nodig aangepast.

Controle door de raad

Voor het goed regelen van privacy is het college van B en W aan zet. De gemeenteraad moet vervolgens controleren of er voldoende wordt gedaan op het gebied van privacybewustwording en of de AVG-maatregelen correct en goed worden uitgevoerd. Zo kan de raad controleren wat de stand van zaken is van het invoeringstraject van de AVG. En of de invoering van de AVG aan de orde is geweest in de verschillende gemeentelijke kadernota’s en begrotingsramingen voor 2018. En, zijn er voor de komende jaren bestuurlijke en budgettaire maatregelen genomen en vastgelegd om de gevolgen van de invoering van de AVG op te vangen? Zie ook het ‘Stappenplan voor gemeenten bij de voorbereiding op de AVG’ voor overige onderwerpen waarop de Raad het College B&W kan controleren.

Het is duidelijk dat de implementatie van de AVG voor gemeenten een complexe en tijdrovende zaak is die zeer serieus genomen moet worden.