In de Achterhoek werken een aantal gemeenten en uitvoeringsorganisaties samen toe naar invoering van de Europese privacywet AVG, die vanaf 25 mei van toepassing is. Eén Functionaris Gegevensbescherming houdt straks voor meerdere organisaties toezicht op naleving van de privacywetgeving. Privacycoördinator Nardy Rensink van de gemeente Doetinchem vertelt hoe het staat met de implementatie.
Zijn de nieuwe privacyregels voor overheden even belangrijk als voor het bedrijfsleven?
“Dat vind ik wel. Met welke organisatie je ook te maken hebt, je wilt ervan op aan kunnen dat ze zorgvuldig met je persoonsgegevens omgaan. Zeker bij de overheid moet je er als burger op kunnen vertrouwen dat je gegevens in goede handen zijn. Mensen denken vaak dat de overheid alles van ze weet, maar dat is niet zo. Ook wij hebben ons – gelukkig – aan regels te houden. Wij willen een betrouwbare overheid zijn.”
De Wbp regelde al een aantal privacyzaken, waarom is de AVG nu urgent?
“De Wbp is gebaseerd op verouderde Europese wetgeving van bijna twintig jaar geleden. Tegenwoordig verlopen steeds meer processen digitaal. Landsgrenzen vervagen en we werken meer dan ooit op Europees niveau. Dat maakt de nieuwe Europese regels relevant.”
Vindt u de AVG duidelijk in wat er van organisaties gevraagd wordt?
“De eisen van de AVG komen voor een deel overeen met die van de huidige Wet bescherming persoonsgegevens. Op een aantal punten is de AVG strenger. Ik denk dat lang niet alle organisaties daar op dit moment aan voldoen. Maar als je nu voldoet aan de Wbp, hoef je niet al teveel stappen te zetten om straks AVG-compliant te zijn.”
“Nieuw is onder andere de Privacy Impact Assessment of PIA, waarmee je de risico’s van het verwerken van persoonsgegevens vooraf in kaart brengt. Je mag bijvoorbeeld niet meer gegevens gebruiken dan je nodig hebt. Verder vereist de AVG dat we van alle verwerkingen risicoanalyses maken. Vooral zogenoemde ‘bijzondere gegevens’ over bijvoorbeeld geloof en medische zaken vragen om extra aandacht. Daarom hebben we privacybeleid vastgesteld met specifiek beleid voor het sociaal domein.”
Heeft Doetinchem een Functionaris Gegevensbescherming?
“We hebben een zogeheten automatisering(A)samenwerking met onze buurgemeenten Aalten, Doesburg en Oude IJsselstreek. Dit betekent dat wij ook nauw samenwerken op het vlak van de Baseline Informatiebeveiliging Gemeenten (BIG). Daarom zagen we ook meerwaarde om samen te werken op het terrein van privacy. We stellen samen procedures op, regelen de bewustwordingscampagnes voor de medewerkers en stellen een gezamenlijke FG aan. Waar we individueel te klein zijn voor een eigen FG kunnen we dat door samenwerking wel realiseren. Deze FG kan de privacycoördinatoren van de afzonderlijke gemeenten met elkaar verbinden. Hierdoor kunnen we kennis delen en kwaliteit waarborgen.”
“Ook andere partijen zien de meerwaarde van de samenwerking in en sluiten hierbij aan. Dit zijn zowel deelnemers van de A-samenwerking zoals de Omgevingsdienst Dienst Achterhoek (ODA) en het Buurtplein, onze organisatie voor de uitvoering van de taken van het sociaal domein. Maar ook de gemeente Oost Gelre doet mee. Mogelijk sluiten nog meer Achterhoekse gemeenten of organisaties zich hierbij aan. De regionale FG gaat straks voor de aangesloten gemeenten en uitvoeringsorganisaties aan de slag op tactisch en strategisch niveau. Iedere organisatie heeft daarnaast zijn eigen privacycoördinator en – op operationeel niveau – een privacybeheerder. Sommige partners kiezen ervoor deze taken te combineren.”
‘De burger heeft gewoon recht op privacy’
De AVG wordt van kracht op 25 mei. Beschouwt u die datum als een harde deadline?
“De wereld vergaat niet als je op 25 mei nog niet alle details op orde hebt. Er zijn weliswaar forse sancties vastgesteld voor overtredingen – boetes tot een maximum van 20 miljoen of 4 procent van de jaaromzet van bedrijven – maar het moet natuurlijk niet de hoogte van een boete zijn die bepaalt of je al dan niet aan wetgeving voldoet. Wij willen een betrouwbare overheid zijn. De burger heeft daar gewoon recht op. Privacy gaat ons allemaal aan.”
Hoe zorgt u voor bewustwording bij medewerkers?
“Binnenkort starten wij weer met een bewustwordingsactie. Al jaren houden wij onder alle medewerkers van onze organisatie een kennistoets informatiebeveiliging en privacy. Die is verplicht voor iedereen, van collegelid tot medewerker van de postkamer. Er komt een speciale privacypagina op ons intranet, met informatie en privacy-gerelateerde documenten. En we organiseren inloopsessies waar mensen straks vragen kunnen stellen.”
“We investeren dus actief in bewustwording van privacy. Niet alleen nu, dit wordt een structureel programma dat wij binnen de samenwerking willen oppakken. In mei zullen we de start van de AVG intern ook op een ludieke manier onder de aandacht brengen. We hebben ook informatie over privacy op onze website gepubliceerd.”
Hoe ziet u de ondersteunende rol van software bij het voldoen aan de AVG?
“Software is heel belangrijk, met de juiste autorisaties regel je doelbinding in je systemen. Medewerkers horen alleen bij gegevens te kunnen die voor hun werkzaamheden nodig zijn. We werken in Nederland natuurlijk met het systeem van basisregistraties, waar Centric voor ons een grote leverancier in is. De toegang tot het gegevensmagazijn moet op orde zijn. De vraag is steeds: wie mag wat zien? Ook informatieveiligheid is heel belangrijk. Qua beveiliging volgen wij de regels van de BIG. Verder kan software worden gebruikt voor logging, waarmee je aantoont wie welke gegevens heeft bevraagd. Met de aanschaf van een managementsysteem voor informatiebeveiliging bewaken wij dat alle maatregelen rondom privacy en informatiebeveiliging conform de jaarkalender worden uitgevoerd en waar nodig worden aangepast.”
Leeft de AVG voldoende bij gemeenten?
“Vanuit de VNG is er de nodige aandacht voor. Bij bijeenkomsten krijg ik de indruk dat wij in Doetinchem al redelijk ver zijn. Zo hebben wij al een privacyregister, zeg maar een overzicht van welke persoonsgegevens in welke processen worden gebruikt. Nog niet alle gemeenten hebben dat op dit moment. Al in 2012 hebben wij bij alle afdelingen in kaart gebracht welke persoonsgegevens zij gebruiken in hun processen, een belangrijke stap in de verantwoording. Maar behalve de instrumentele verplichting is vooral bewustwording belangrijk nu wij in deze informatiesamenleving steeds meer met elkaar delen. Dit moet vooral veel aandacht krijgen.”
Hebt u een tip voor organisaties die zich op de AVG voorbereiden?
“Een belangrijk punt in de AVG is het recht op vergetelheid. Daarom moeten we kritisch kijken naar de bewaartermijnen voor verschillende soorten persoonsgegevens. Wij hebben natuurlijk allerlei prachtige systemen waar we gegevens in bewaren, maar het is ook noodzakelijk persoonsgegevens op tijd te verwijderen als er geen doelbinding meer is. Als gemeenten moeten we ons huiswerk ook wat dat betreft op orde hebben. Netjes opschonen is even belangrijk als netjes bewaren.”
Graag wil ik in contact komen met Nardy Rensink over de implementatie van de AVG en training AVG voor medewerkers.