1 maart 2018

Toekomstbestendig bestuur / artikel

Privacy is nooit af, maar is jouw organisatie AVG-proof op 25 mei 2018?

Nog even en dan is de AVG van kracht: daarmee komen alle organisaties (zowel bedrijven als overheden) in aanraking met nieuwe privacyregels rond het verwerken van persoonsgegevens. Dat betekent een grote organisatorische klus. Welke laatste stappen zijn in deze fase nog van belang? We spraken met Marjolein Hoff, privacyjurist en senior beleidsmedewerker privacy bij de VNG.

De Algemene verordening gegevensbescherming (AVG) wordt van kracht op 25 mei 2018 en vervangt de huidige Wet bescherming persoonsgegevens (Wbp). De groeiende omvang, het gebruik, de opslag en het delen van digitale data van de afgelopen jaren hebben geleid tot nieuwe privacyregels. Deze nieuwe regels gaan niet zozeer over het verwerken van persoonsgegevens, maar vooral over de rechtspositie van mensen en de verantwoordingsplicht van bestuurders. Mensen krijgen meer mogelijkheden om voor zichzelf op te komen bij de verwerking van hun gegevens. Zij krijgen meer en sterkere privacyrechten. Daarnaast moeten bestuurders kunnen aantonen dat zij de regels van de AVG effectief naleven (verantwoordingsplicht).

Naast de bestaande privacyrechten van burgers (inzage, correctie, etc.) zorgt de AVG voor een aantal aanvullende rechten, zoals het recht op dataportabiliteit. Dat is het recht om van een organisatie te vragen om de eigen persoonsgegevens in een standaardformaat te ontvangen. Daarnaast krijgen mensen het recht om een organisatie te vragen om hun persoonsgegevens te verwijderen (recht op vergetelheid). Tot slot worden met de invoering van de AVG de boetes bij overtredingen nog hoger.

Privacy is onderdeel van ieders werk

Dat betekent niet alleen een aanpassing van systemen en werkprocessen, maar een bewustwordingsproces voor elke medewerker. Marjolein Hoff onderstreept dat: “Privacy is niet alleen een taak van de functionaris gegevensbescherming; maar ook van bestuurders (zij zijn eindverantwoordelijk) en elke medewerker in de organisatie. Het gaat om bewustwording, omdat privacyregels van belang zijn bij ieders werk. Je zou je, telkens als je persoonsgegevens tegenkomt, moeten afvragen: mag ik deze wel gebruiken en zo ja: gebruik ik niet teveel persoonsgegevens? Kan het niet met minder?”

Een goed voorbeeld van het maken van de juiste afwegingen bij het gebruik van persoonsgegevens, vind je in het sociaal domein. Onlangs concludeerde de Autoriteit Persoonsgegevens dat het gebruik van de Zelfredzaamheidsmatrix (een vragenlijst om de mate van zelfredzaamheid van iemand in kaart te brengen) meer persoonsgegevens vastlegt dan nodig is voor de beoordeling van de hulpvraag. “Dat is in strijd met het principe van dataminimalisatie (alleen de gegevens verwerken die nodig zijn voor het doel wat je hebt). Er is geen privacyregel die verbiedt dat je een goed gesprek met iemand hebt om te kijken hoe je hem het beste kan helpen. Maar privacyregels zeggen wel: leg uitsluitend vast wat relevant is voor de beoordeling van die hulpvraag. Hoe relevant is de scheiding van iemand voor een scootmobiel-aanvraag? Deze details kan een goed gesprek op weg helpen, maar moet je dit ook echt registreren? Die afweging moet je maken.” Je moet kunnen uitleggen waarom je persoonsgegevens hebt vastgelegd.

Privacymanagement voor betere dienstverlening

Ook zonder de AVG zijn bestuurders verplicht om te zorgen voor goed privacymanagement. “We moeten toe naar een situatie waarin dit net zo belangrijk gevonden wordt als het op orde houden van je financiën: data vertegenwoordigen ook een grote waarde. Het gaat om de kwaliteit van je dienstverlening naar de burger toe; de burger moet erop kunnen vertrouwen dat de overheid daarbij zorgvuldig met zijn gegevens omgaat.”

Bestuurders spelen daarbij een belangrijke rol. Zij moeten privacybeleid vaststellen en de uitvoering daarvan uitrollen in de gemeentelijke organisatie. Dat betekent ook het aanbieden van trainingen en instructies aan professionals op de werkvloer.

Wat moet je weten voor 25 mei 2018?

Er zijn een aantal eisen waar gemeenten  in ieder geval op 25 mei aan moeten voldoen:

  1. het beschikken over een register van verwerkingsactiviteiten;
  2. het kunnen uitvoeren van een data protection impact assessment (DPIA) voor gegevensverwerkingen met een hoog privacyrisico;
  3. het beschikken over een register van datalekken die zijn opgetreden;
  4. het aantonen dat een betrokkene daadwerkelijk toestemming heeft gegeven voor een gegevensverwerking wanneer daarvoor toestemming nodig is;
  5. het aangesteld hebben van een Functionaris gegevensbescherming en aangemeld hebben bij de Autoriteit persoonsgegevens;
  6. het beschikken over een procedure voor inzage in persoonsgegevens.

Voor de zaken die nog niet klaar zijn, is het belangrijk om een plan klaar te hebben waarin beredeneerd wordt uitgelegd waarom die nog niet zijn uitgevoerd en op welke termijn dat wel gaat gebeuren.

Privacy is nooit af

Ook na 25 mei 2018 blijven privacymanagement en privacybewustwording onderwerpen die continue aandacht verdienen. Bovendien is privacy nooit af, geeft ze aan. “Je hebt telkens weer te maken met nieuwe inzichten, jurisprudentie of nieuwe ICT-systemen. De vraag: ‘hoe ga ik om met (deze) data?’ blijft terugkomen.”

Waar kun je terecht voor ondersteuning?

De VNG biedt gemeenten op verschillende manieren ondersteuning. We zetten ze samen met Marjolein Hoff op een rij:

  • De diverse handreikingen over AVG-onderwerpen die zijn gepubliceerd door VNG-Realisatie vind je op deze themapagina;
  • VNG Privacy Helpdesk voor gemeenten: privacy@vng.nl of 070 3738011;
  • VNG biedt gemeentelijke functionarissen gegevensbescherming, of degenen die deze functie voorlopig waarnemen, gerichte ondersteuning. Zij kunnen zich aanmelden via dit aanmeldformulier.

Privacyinformatie en -nieuws op de VNG-website

Ook komen er binnenkort VNG regiobijeenkomsten over de implementatie van de AVG bij gemeenten, en wordt een online community voor gemeentelijke functionarissen gegevensbescherming gelanceerd. Marjolein Hoff: “De onafhankelijke toezichtsfunctie die zo’n functionaris heeft maakt dat je niet gemakkelijk kunt sparren met collega’s. Dat is juist in deze beginfase erg belangrijk en  willen we met dit online platform faciliteren: deze pioniers moeten ervaringen, vragen en best practices met elkaar kunnen delen.”

Meer weten over privacy?