Tik Tak Tik.. de klok tikt door, nog 11 dagen en dan doet de AVG (Algemene Verordening Gegevensbescherming) zijn intrede. Dit heeft een grote impact op veel organisaties, met name gemeenten. Want hoe zorg je ervoor dat je AVG-proof bent op 25 mei? Een vraag waar veel gemeenten mee worstelen. Simpelweg omdat ze door de bomen het bos niet meer zien en niet weten waar ze moeten beginnen als het gaat om de implementatie van de AVG. Om je op weg te helpen geven we je daarom graag een aantal tips waarmee je de eerste stappen kunt zetten om aan de AVG te voldoen.

Privacy is een continu proces

Allereest is het belangrijk om te weten dat privacy (en daarmee de implementatie van AVG) niet als een eenmalig project gezien kan worden, waarbij we het implementeren en daarna ‘klaar’ zijn. Privacy is geen project, het is een continu proces en zal daarom altijd onderdeel zijn van de bedrijfsvoering. Om te beginnen is het belangrijk om je niet te laten verleiden door de details, zo heb je als gemeente grote sets aan persoonsgegevens van burgers die in bijna alle taken gebruikt worden. Focus je eerst op de basisonderdelen die op orde dienen te zijn:

1. Implementeer een privacy organisatie
Het is belangrijk om het privacy vraagstuk niet bij één persoon te beleggen, maar ook bij het lijnmanagement, waar deze verantwoordelijkheid ligt. Zo dient privacy opgenomen te worden in beleid, jaarplannen en dient het onderdeel te worden van de processen en werkwijzen op diverse afdelingen. Lijnmanagers moeten zich bewust zijn van het feit dat zij verantwoordelijk zijn voor de uiteindelijke implementatie van de privacywetgeving. Dit doen zij uiteraard niet alleen. Alle gemeenten zijn namelijk verplicht een Functionaris Gegevensbescherming (FG) aan te stellen. De FG houdt toezicht op en geeft advies over de verwerking van persoonsgegevens. Daarnaast is de FG gesprekspartner richting de Autoriteit Persoonsgegevens (AP). Afhankelijk van de grote van de gemeente, wordt er ook vaak een Privacy Officer (PO) aangesteld. Hiermee wordt de lijnmanager voor bepaalde operationele taken ontlast. De PO ondersteunt afdelingen bij het uitvoeren van bijvoorbeeld Data Protection Impact Assessments (DPIA’s) en houdt het register van verwerkingen bij. Als het gaat om privacy kun je dus stellen dat de eerstelijns verantwoordelijkheid bij het lijnmanagement ligt, de tweedelijns bij de PO, en de derdelijns en tevens toezichthoudende rol bij de FG ligt. Ook adviseert de FG gevraagd of ongevraagd het college m.b.t. zaken rondom privacy. Hierbij is het belangrijk dat de FG onafhankelijk zijn werk kan uitvoeren. De functie mag dus niet bij de CISO worden belegd.

2. Stel een privacybeleid op
Het privacybeleid geeft de kaders weer waarbinnen de gemeente zich kan bewegen als het gaat om privacy. In dit beleid wordt o.a. formeel de privacy organisatie beschreven qua taken en verantwoordelijkheden en wat de gemeente beoogt met de implementatie van de AVG. Dit beleid vormt de basis voor verdere procedures en afspraken binnen de gemeenten. De Vereniging van Nederlandse Gemeenten (VNG) heeft een standaard template voor een algemeen privacybeleid opgesteld die je als gemeente kunt gebruiken. Echter, raad ik aan het beleid toe te schrijven naar je eigen organisatie, zodat het ook daadwerkelijk een eigen beleid van de gemeente wordt. Ook hier is het weer van belang dat het management achter dit beleid staat en zichzelf en de gemeente hierin herkent.

3. Stel een verwerkingsregister op
Het is uiteraard onmogelijk toezicht te houden op de persoonsgegevens binnen de gemeente wanneer je niet weet waar deze gegevens zich bevinden. Daarom moet je als gemeente alle gegevensverwerkingen in kaart brengen. Dit houdt in; documenteren welke gegevens je verwerkt en met welk doel dit gebeurt, waar de gegevens vandaan komen en met wie deze gegevens gedeeld worden. Dit geeft niet alleen een duidelijk beeld voor AP, maar ook voor de gemeente zelf. Zo helpt het bijvoorbeeld bij het uitvoeren van DPIA’s (context systemen en processen) en geeft het medewerkers bewust inzicht in het feit waarom deze gegevens nu bewaard worden (en met welk doel). Zie ook mijn twee eerder blogs voor het opstellen en onderhouden van een register van verwerkingen: ‘Een verwerkingsregister invullen, hoe doe je dat?’ en ‘Een verwerkingsregister onderhouden, hoe?’.

4. Voer DPIA’s uit
Wanneer er een nieuw systeem wordt geïmplementeerd (of aangepast) wordt, kun je een DPIA uitvoeren: dit is een assessment om te bepalen waar mogelijke risico’s liggen met betrekking tot het bewaren van persoonsgegevens. Hierdoor wordt de visie op privacy al in een beginstadium meegenomen. Mijn inziens moet je een DPIA niet alleen op het vlak van privacy uitvoeren, maar ook op informatiebeveiligingsvlak. Als gemeente maak je gebruik van de BIG, hierbij is een baselinetoets beschikbaar van VNG waarin je een applicatie/systeem kunt beoordelen (op basis van BIV: beschikbaarheid, integriteit en vertrouwelijkheid) of deze nog aanvullende beveiligingsmaatregelen nodig heeft bovenop de standaard BIG controls. Het is aan te raden deze al mee te nemen in het beginstadium, tegelijk met de uitvoering van de DPIA.

5. Sluit verwerkersovereenkomsten af met leveranciers
Bij de verwerking van persoonsgegevens maakt de gemeente soms gebruik van diensten van derde partijen. De uitvoering van verwerkingen van persoonsgegevens door een derde partij moet geregeld worden in een overeenkomst; de verwerkersovereenkomst. Hiermee beleg je ook verantwoordelijkheden m.b.t. privacy binnen je organisatie. De verwerkersovereenkomst geeft aan welke plichten de derde partij heeft in het kader van gegevensverwerkingen die binnen het domein van de derde partij plaatsvindt. De VNG heeft goede templates voor gemeenten die je kunt gebruiken.

6. Plaats een Privacy Statement op je website(s)
De burger moet weten wat er met zijn/haar data gebeurt en hoe de gemeente van plan is om te gaan met deze gegevens. Daarom moet er op de websites van de gemeente duidelijk gecommuniceerd worden op welke wijze de gemeente omgaat met persoonsgegevens van haar burgers. Het statement moet in een duidelijke en leesbare vorm (spreektaal) beschrijven wat het privacybeleid is. De hele AVG-wetgeving is erop gericht transparant te zijn richting de betrokkene, dit is een onderdeel hiervan.

7. Stel procedures op m.b.t. rechten van betrokkenen
Last but not least.. is het van belang dat de gemeente haar collega’s instrueert op welke wijze de burger hun rechten kunnen uitoefenen. Vanuit de wet heeft ‘de betrokkene’ (in dit geval de burger) bepaalde rechten, zoals het recht op inzage, verwijdering en dataportabiliteit. Informeer het klantcontactcentrum van de gemeente hierover. Zodat zij weten hoe ze moeten omgaan met dit soort verzoeken. Zorg dat er een manier is waarop de burger een verzoek kan indienen, bijvoorbeeld via een speciaal e-mailadres of een loket. Stel daarnaast iemand aan die dergelijke verzoeken oppakt en op welke manier (procedure). Zorg dat de medewerkers die direct in contact staan met de burgers op de hoogte zijn van deze procedure en hier ook naar handelen. Vaak zie je dat de PO het verzoek oppakt en deze coördineert met de betreffende afdelingen en dat de formele terugkoppeling richting betrokkene via de FG plaatsvindt. Ook hier heeft de VNG handreikingen voor.

Pas wanneer bovenstaande zaken op orde zijn, ga je over tot de detail implementatie. In deze fase ga je per afdeling bekijken naar de wijze waarop het privacybeleid kan worden geïmplementeerd en welke concrete vragen en mogelijke onduidelijkheden er nog zijn. Vooral binnen het Sociaal Domein spelen er waarschijnlijk nog specifieke vraagstukken. Ook komt dan het Privacy by Design en Privacy by Default om de hoek kijken. Als het goed is heb je in je beleid al gedefinieerd op welke wijze je dit binnen je gemeente wil vormgeven.

En dan ben je er nog niet, uiteraard zijn er nog andere belangrijke punten die in deze blog niet aan de orde zijn gekomen, zoals het implementeren van procedures met betrekking tot het bewaren van gegevens (vaststellen van bewaartermijnen, archiveren, opschonen) en de integratie van informatiebeveiliging binnen het privacydomein. Kortom, er is nog een hoop werk aan de winkel en ondertussen tikt de tijd door… aan de slag dus!