De gemeente Delft gebruikt Privacy Workspace om inzage te krijgen in de verwerking van persoonsgegevens. Dat doet ze voor burgerzaken en het sociaal domein. “Je kunt het minimale doen zodat je aan de auditregels voldoet. Maar wij kiezen voor wat we zelf belangrijk vinden bij het toezicht op het gebruik van persoonsgegevens,” zegt Joeri Nelemans, adviseur informatiebeveiliging intern bij de gemeente Delft.
Net als alle gemeenten, werkt de gemeente Delft met persoonsgegevens van inwoners. Gemeenten moeten daarbij voldoen aan strenge regels op het gebied van privacy en security. De Rijksoverheid controleert in diverse audits of gemeenten aan deze regels voldoen. Bijvoorbeeld als het gaat om het gebruiken van Suwinet en de BRP. Los daarvan, vinden gemeenten het natuurlijk ook zelf belangrijk om zorgvuldig met persoonsgegevens om te gaan. “We verwerken veel vertrouwelijke en kwetsbare gegevens van onze inwoners, het is logisch dat daar strenge regels voor gelden en dat we daaraan voldoen. Ons college let daar ook op,” vertelt Nelemans.
Scherp blijven
De gemeente Delft koos Privacy Workspace voor haar toezicht op de verwerking van persoonsgegevens. Nelemans: “We gebruiken software van Centric om BRP-verwerkingen te doen en in Privacy Workspace wordt inzichtelijk gemaakt welke medewerker welke gegevens bekeek of bewerkte.” Omdat Delft ook de Centric Suites voor het Sociaal Domein gebruikt, was het een logische stap om ook daar Privacy Workspace voor te gebruiken. Dat vraagt om een toelichting, zegt hij: “We hadden in Delft een koppeling op een bepaalde manier ingericht, zodat het pakket voor het sociaal domein in zijn geheel onder de auditverplichting voor Suwinet viel. Dat was aanvankelijk de reden om Privacy Workspace ook voor het sociaal domein te gebruiken.” Die situatie is inmiddels veranderd, maar de gemeente blijft Privacy Workspace ook voor het sociaal domein gebruiken. “We hebben inmiddels de meerwaarde van Privacy Workspace ervaren. Het ondersteunt ons bij ons interne toezicht. In het sociaal domein worden veel gevoelige gegevens verwerkt, het is dus heel relevant om ook daar scherp te blijven. Je kunt het minimale doen zodat je aan de auditregels voldoet, maar wij kiezen voor wat we zelf belangrijk vinden bij het toezicht op het gebruik van persoonsgegevens.”
Context is bepalend
Het is voor medewerkers vaak wel even wennen als Privacy Workspace wordt ingevoerd. Het maakt immers inzichtelijk wie welke gegevens verwerkte en dat kan medewerkers het gevoel geven dat ze bekeken worden. Dragana Djeric, adviseur kwaliteitsmanagement, vertelt dat hier rekening mee is gehouden bij de invoering van de applicatie: “We hebben de medewerkers en de afdelingshoofden helder uitgelegd wat we gingen doen, hoe het werkt en waarom het belangrijk is dat we deze controle uitvoeren.” Zelf was ze verantwoordelijk voor het toezicht van de verwerking van persoonsgegevens in het sociaal domein. Dat gebeurt door medewerkers van de gemeente zelf, en van twee samenwerkingspartners die werkzoekenden begeleiden. “Er was wel wat weerstand, mensen waren bang dat ze hun werk niet meer konden doen omdat de controle op het gebruik van gegevens streng is.” Ze noemt een voorbeeld: een medewerker raadpleegde persoonsgegevens van een inwoner die op dat moment geen cliënt van hem was. “Deze inwoner was dat echter een aantal jaren daarvoor wel geweest en de medewerker had nu een cliënt in een vergelijkbare situatie. Hij wilde nagaan welke maatregelen bij die vorige cliënt waren opgelegd, om te kunnen beoordelen of dat in het nieuwe geval relevant kon zijn.” Dit voorbeeld leidde tot interne afspraken over wanneer iets wel of niet toelaatbaar is. Het past bij een lerende organisatie om het op deze manier in te vullen, zegt ze: “Medewerkers voelen zich al snel op de vingers getikt als wij navraag doen naar aanleiding van wat we zien in de logregels in Privacy Workspace. Maar dat is helemaal niet de bedoeling. Als je goed kunt uitleggen waarom je bepaalde gegevens inzag, dan is er niets aan de hand.”
Betrouwbare overheid
De gemeente Delft zet Privacy Workspace in om verantwoording af te leggen naar interne en externe toezichthouders. Uiteindelijk gaat het om het afleggen van verantwoording aan de inwoners, zegt Nelemans. Aan de individuele inwoner, die inzage krijgt in welke persoonsgegevens de gemeente heeft en hoe en wie deze gebruiken. En aan de samenleving als geheel. Want toezicht op het rechtmatig gebruik van persoonsgegevens draagt bij aan een integere en daarmee transparante en betrouwbare overheid, zeggen Nelemans en Djeric. “Het is een middel waarmee wij kunnen laten zien dat wij het beschermen van persoonsgegevens serieus nemen. In combinatie met een goed proces en heldere interne afspraken. Op deze manier kunnen wij onze inwoners, toezichthouders en onze eigen organisatie duidelijk uitleggen wat we met persoonsgegevens doen,” besluit Nelemans.