Artikel

AVG Praktijkdag: alles over de nieuwe privacywet

Dat de Algemene Verordening Gegevensbescherming (AVG) vanaf mei gehandhaafd wordt, is wel bekend. Maar wat betekent dit precies voor gemeenten? Die vraag stond centraal tijdens de AVG Praktijkdag, georganiseerd door Centric samen met Privacy Company.

Ruim honderd medewerkers van gemeenten, belastingkantoren en omgevingsdiensten uit het hele land werden in één dag bijgepraat over wat de AVG betekent voor hun werk. Zowel de juridische als de organisatorische en de IT-kant werd besproken. Veel praktische vragen werden beantwoord, zoals de vraag van een medewerker van een belastingsamenwerking: burgers die bezwaar willen maken tegen een aanslag, kunnen hiervoor op de website van hun gemeente inloggen met hun BSN en het aanslagnummer. Dat mag niet onder de AVG, is het antwoord, omdat het gebruik van het BSN hier niet per se noodzakelijk is. Veilig inloggen kan immers ook met DigiD.

Een andere vraag ging over het verstrekken van NAW-gegevens van inwoners aan een vereniging, iets wat de gemeente volgens de vragensteller al jarenlang doet. Het argument “dat doen we al jaren zo” is echter geen geldig argument onder de AVG, antwoordde directeur Arnold Roosendaal van de Privacy Company: “Misschien mag het wel, maar het doel waarom je iets doet moet helder zijn. De kern van de AVG is dat je moet kunnen verantwoorden waarom je iets doet. Kun je dat, dan mag er veel.”

Wettelijke basis

De AVG legt organisaties strenge eisen op als het gaat om het verwerken van persoonsgegevens. De verordening hanteert daarbij sleutelbegrippen als doelbinding, subsidiariteit en proportionaliteit. Kort vertaald: je moet een helder doel hebben waarom je iets doet, het moet niet op een andere manier kunnen (zoals in het voorbeeld van het gebruik van het BSN terwijl het ook met DigiD kan) en het verwerken van de persoonsgegevens moet in verhouding staan tot het doel (bijvoorbeeld alle medische gegevens van een burger opvragen en opslaan voor het toekennen van een trapliftsubsidie is niet toegestaan).

Roosendaal legde uit dat gemeenten voor veel van hun publiekrechtelijke taken een wettelijke grondslag hebben, zoals de wet BRP, waardoor het doel voor het verwerken van de persoonsgegevens voor die taken helder is. Ingewikkelder wordt het bij de privaatrechtelijke taken, bijvoorbeeld wanneer een gemeente een sporthal verhuurt aan een vereniging. Daarvoor mag de gemeente geen gegevens uit de basisregistraties gebruiken.

IT-hulpmiddelen

In de drie plenaire presentaties en de vijf parallelsessies werd duidelijk dat overzicht en inzicht in de verwerking van persoonsgegevens belangrijk is voor de AVG. Of het nu gaat om het gebruik van het BSN in allerlei gemeentelijke processen, de bevraging van de GBA-V voor publiekrechtelijke en privaatrechtelijke taken of de uitwisseling van gegevens in het sociaal domein: het gaat erom dat het doel helder is en dat goed wordt vastgelegd welke gegevens waarvoor worden gebruikt. IT helpt gemeenten hierbij. Onder meer met een register waarin staat welke gegevens in welke processen worden gebruikt en waar deze in de organisatie zijn opgeslagen.

Centric helpt gemeenten te voldoen aan de AVG. Lidwien Meijers, strategisch productmanager en Privacy Officer bij Centric, vertelde onder meer over Privacy Logging: een tool die bijhoudt wie wanneer welke gegevens inziet of aanpast in de gemeentelijke systemen. De functionaris gegevensbescherming logt in in dit systeem en krijgt een duidelijk overzicht, waarmee hij of zij kan controleren of het gebruik van de persoonsgegevens rechtmatig is.

Ook biedt Centric oplossingen voor informatiebeveiliging aan gemeenten. Adequate informatiebeveiliging is een belangrijke voorwaarde om te voldoen aan de AVG. Gerard Stroeve, Chief Information Security Officer (CISO) bij Centric, vertelde in zijn inleiding wat er allemaal komt kijken bij het voldoen aan de privacy- en informatiebeveiligingsregels in een organisatie.

Vertrouwen in de overheid

De regels van de AVG zijn niet heel anders dan de privacyregels van de huidige Wet bescherming persoonsgegevens (Wbp), zei Roosendaal van Privacy Company. “Als je helemaal voldoet aan de Wbp, dan heb je weinig werk om AVG-compliant te worden. De werkelijkheid is echter dat geen enkele organisatie helemaal voldoet aan de Wbp.”

De deelnemers aan de AVG Praktijkdag gingen naar huis met nieuwe kennis en antwoorden op veel praktische vragen. Alain Mahieu, programmamanager bij Centric, sloot de dag af met de conclusie dat er nog veel te doen valt. De boetes waar veel mee gedreigd wordt moeten echter niet de belangrijkste reden zijn om te voldoen aan de privacyregels. Het gaat er uiteindelijk om dat inwoners en ondernemers de overheid kunnen vertrouwen als het gaat om het zorgvuldig omgaan met hun persoonsgegevens.

Bovendien profiteert de organisatie er zelf ook van als helder is welke gegevens waar zijn opgeslagen en archivering en autorisatie goed zijn geregeld. Mahieu: “Het is voor velen nog een flinke klus om AVG-compliant te worden, maar uiteindelijk heeft iedereen er voordeel van.”

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren