6 april 2018

Toekomstbestendig bestuur / praktijkvoorbeeld

Edam-Volendam: de AVG biedt juist ruimte voor goed gegevensmanagement

Op 25 mei 2018 wordt de AVG van kracht, en moeten organisaties voldoen aan strengere eisen rond gegevensverwerking. Eerder spraken we met VNG over de laatste to do’s voor die tijd. Maar hoe ver zijn gemeenten hiermee? Remco Rekoert, functionaris gegevensbescherming (FG) en CISO vertelt waar hij tegenaan loopt bij de gemeente Edam-Volendam. Hij zit tot over zijn oren in het werk, maar ziet de AVG als kans om gegevens en privacy goed te managen.

privacykompas avg

Op 25 mei moeten gemeenten in ieder geval aan zes eisen voldoen, waaronder het aanstellen van de Functionaris gegevensbescherming. Nu deze datum nadert en de aandacht voor de AVG is toegenomen, komen er veel medewerkers in Edam-Volendam met vragen die uit hun eigen discipline voortkomen: is het interessant om een AVG- of privacytraining te volgen? Wat betekent de AVG voor mijn werk?  “Het besef dat privacy belangrijk is, groeit merkbaar en dat is goed. Mensen vergissen zich al snel: er worden zo vaak persoonsgegevens gebruikt in beleid of in systemen. Daarmee moet goed worden omgegaan. De grootste uitdaging is om alle collega’s mee te krijgen. Het is een cultuuromslag: iedereen krijgt hiermee te maken. Goede gegevensverwerking is deel van ieders dagelijks werk.”

Elk proces start met gegevensverwerking

Soms kom je bij toeval achter een systeem waar “onverwacht” toch persoonsgegevens worden verwerkt, vertelt hij. “Laatst hadden we het over ondergrondse afvalcontainers. Er werd gesteld dat dit systeem niets van doen heeft met persoonsgegevens. Maar als je doorvraagt, blijken mensen een pasje te gebruiken wat staat geregistreerd op een adres. Bij eenpersoonshuishoudens kunnen deze gegevens wel degelijk naar een persoon herleid worden. En dus worden er persoonsgegevens verwerkt.”

Zo blijkt maar hoe snel het misgaat, en waarom dat bewustzijn zo belangrijk is. Daarom is het belangrijk om een goede gegevensverwerking al vroeg in het proces mee te nemen, geeft Rekoert aan. Bij inkoop, automatisering, P&O, maar ook op het niveau van besluitvorming. In een later stadium kan het een proces vertragen of zelfs stoppen. Het is lastig om privacy goed te borgen, omdat je werkprocessen er niet op zijn ingericht of er weinig draagvlak bestaat.

De uitdagingen van een Functionaris Gegevensbescherming

Bij de gemeente Edam-Volendam ligt het AVG-beleid al klaar en gaat er veel aandacht naar bewustwording. Eerder werd een 0-meting gedaan waar een plan van aanpak uit kwam. Nu komt Rekoert om in het werk. De grootste uitdaging is dat er zowel uitvoerend als adviserend werk op hem afkomt, zegt hij: “Ik heb als FG én CISO een lastige positie. Mijn huidige taken worden over drie personen verdeeld. Dus één CISO, één Privacy Officer (PO) en één FG. We willen op strategisch niveau een goed georganiseerd, stabiel privacymanagement neerzetten met goed beleid en kaders en een privacy en informatie-team (PIT), los van de FG. Deze PIT moet nog worden opgezet, en verenigt de CISO, de PO, de afdeling automatisering, en van elke afdeling een proceseigenaar. Die proceseigenaren kunnen de situatie op hun eigen afdeling bewaken en PIA’s (red.: privacy impact assessments, het in kaart brengen van privacyrisico’s) uitvoeren. Dan kan de FG terug naar de controlerende, adviserende taak.”

Rekoert is nu druk bezig met de verwerkingsregistratie, waarin wordt vastgelegd welke persoonsgegevens op welk moment en voor welk doel worden gebruikt. “Dat is een enorme uitvoerende klus. Dit komt even bovenop het lopende werk wat ik heb als FG. We proberen bij alle afdelingshoofden formulieren uit te rollen die de registratie zullen vullen. De diversiteit en hoeveelheid aan gegevens in de hele organisatie is een fikse uitdaging. Hoe cluster je die data slim? Dat is nog even de vraag.”

Leren van collega-functionarissen uit de regio

“We komen al zo’n twee jaar lang om de zes weken samen in de regio. Daarbij zijn FG’s en CISO’s van o.a. Zaanstad, Purmerend, Landsmeer, Overgemeenten en Waterland betrokken. We informeren elkaar over hoe je bepaalde zaken oppakt.  We wisselen informatie uit zoals over een privacyconvenant en beleid. Onlangs kwamen er deskundigen langs om te vertellen over privacy binnen blockchaintechnologie. Zeer leerzaam, maar dan de uitvoering nog… Verder is het een low level overleg, zonder politiek belang. We willen vooral van elkaar leren: hoe lost een ander een probleem als datalekken op?”

Lessen tot nu toe

Dat Rekoert al vroeg bezig was met de uitvoering, is volgens hem nodig. “Anders loop je achter. De bewustwording en het meekrijgen van alle medewerkers is echt een grote klus. Maar dat vind ik ook leuk: mensen meenemen in het belang van een goede gegevensverwerking en -bescherming. Het lijkt hen eerst vooral veel werk, maar vaak stel ik de vraag: hoe zou je het zelf willen? Dan krijg je vaak een heel ander gesprek.” Op de vraag welke lessen hij wil delen, komen we uit op drie inzichten:

  1. Voorbereiden op de AVG start bij politiek en strategisch draagvlak en voorin het proces.
    “Denk bijvoorbeeld aan inkoop, automatisering, P&O en besluitvorming. Het beleid bepaalt de kaders waarin je gaat werken. Als je dat strategisch goed kunt neerzetten, kun je het ook goed uitvoeren. Werk van boven naar beneden.”
  2. Kijk naar wat je in huis hebt, waar de organisatie toe in staat is en wat je belangrijk vindt, en maak op basis daarvan een plan.
    “Leer van goede voorbeelden, maar kijk niet té veel naar anderen. Je hoeft niet altijd het beste jongetje van de klas te zijn: wees ambitieus, maar realistisch.”
  3. Zie de AVG niet alleen als privacyvraagstuk, maar als een stukje gegevensmanagement.
    “Gegevens worden wel ‘het nieuwe goud’ genoemd, en worden minstens zo belangrijk als financiën. Deze nieuwe wetgeving en beveiliging dragen daar zeker aan bij.”

Betrek de burger bij zijn controlerende rol

De burger wordt straks ook toezichthouder van het gegevensbeleid van gemeenten. Daar is nog niet iedereen zich van bewust. Hoewel er niet altijd veel tijd voor is, werkt Rekoert wel aan campagnes om de inwoners van Edam-Volendam bewust te maken van het nieuwe privacybeleid en hun rol daarin. “We doen mee met de campagne “Privacy gaat iedereen wat aan” van de Autoriteit Persoonsgegevens, die nog in de kranten komt te staan. De Burgemeester speelt daarin als portefeuillehouder een grote, betrokken rol.” Ook deed Rekoert mee aan een driedelige serie “Jouw Gemeente Mijn Gemeente” over de AVG:

Zie ook de andere afleveringen op het Jouw Gemeente, Mijn Gemeente-Youtubekanaal.

Doelen voor de deadline van 25 mei

Dat er veel aandacht voor de AVG is, helpt Rekoert om draagvlak te creëren in de organisatie. Toch vindt hij het jammer dat hij nu nog weinig tijd overhoudt voor de burgercampagne of voor complexe uitdagingen als het privacyvraagstuk in gemeenschappelijke regelingen. En dus gaat het werk ook nog na 25 mei door. Op de vraag wanneer hij tevreden is, zegt hij: “Als de papieren verwerkingsregistratie gereed is en we het privacy management geïmplementeerd hebben op 25 mei. Daarnaast zou ik graag zien dat het MT en B&W hun commitment en de borging actief uitdragen. Dan kunnen we echt verder.”