Een Data Protection Impact Assessment (DPIA) in je gemeente uitvoeren kan complex zijn en veel tijd kosten. Met een nieuwe Handreiking komt de Informatiebeveiligingsdienst (IBD) professionals tegemoet. Wat nog beter helpt is om kennis te delen en ervaringen uit te wisselen met andere gemeenten. ‘We kunnen nog veel van elkaar leren.’
Sinds 2018 is elke gemeente die persoonsgegevens verwerkt verplicht om een Data Protection Impact Assessment (DPIA) uit te voeren wanneer er vermoeden is dat er sprake zou kunnen zijn van risico’s voor de betrokkenen, zoals van inwoners, medewerkers, bestuurder of raadsleden. Als blijkt dat die er inderdaad zijn, moet de gemeente maatregelen treffen om de persoonsgegevens te beschermen.
Dat is een belangrijke plicht voor gemeenten, stelt Ester Weststeijn, burgemeester van Rozendaal en tevens lid van de IBD Adviesraad en de VNG-commissie Informatiesamenleving. “Als gemeenten staan wij immers voor de bescherming van de gegevens van onze inwoners. Zij vertrouwen ons hun persoonsgegevens toe, zodat wij hen de juiste hulp en ondersteuning kunnen bieden, denk aan de jeugdzorg. Of bijvoorbeeld wanneer we besluiten cameratoezicht in te zetten in de openbare ruimte. In veel van deze processen delen we bovendien gegevens met partners. De DPIA is een goede – en bovendien soms verplichte – manier om vooraf te borgen dat we dat goed doen. Zo’n ‘gegevensbeschermingseffectbeoordeling’ helpt ons vooraf risico’s te benoemen en maatregelen te nemen.”
Hoe geef je het vorm?
Het uitvoeren van een DPIA wordt echter nog niet overal binnen gemeenten met evenveel enthousiasme ontvangen. Het is ingewikkeld, en wie is er eigenlijk verantwoordelijk voor? Hoe geef je het vorm? Vaak is het nog een extra taak erbij op de toch al overvolle workload van ambtenaren. Dat zag Sylvia Meinders, functionaris voor gegevensbescherming (FG), toen ze twee jaar geleden kwam werken bij de gemeente Enschede. De gemeente had in 2022 vijf DPIA’s gestart, en er één afgerond. “Ik zag de privacy officers er enorm mee worstelen, omdat ze het hele DPIA-traject van A tot Z op hun schouders namen. In het verwerkingenregister van Enschede stonden 900 verwerkingen. Bij een groot deel ervan worden persoonsgegevens gebruikt. Rekenend dat je minimaal één keer in de drie jaar een DPIA moet herhalen, kwam ik uit honderd tot 150 DPIA’s per jaar voor Enschede. We moesten het meer gestructureerd en en pragmatischer gaan aanpakken. Anders krijg je er nooit meer controle over.”
Vertrouwen in de overheid
Meinders bedacht wat er allemaal moest gebeuren om het proces te veranderen en schreef een memo met een aantal aanbevelingen aan de gemeentesecretaris.
Een van de aanbevelingen is dat het niet alleen maar bij één persoon mag komen te liggen. “Eigenlijk is een DPIA niet meer dan een risico-inventarisatie op het gebied van bescherming van persoonsgegevens. Dat kun je niet alleen overlaten aan de privacy officer. Omdat de DPIA zo complex is om uit te voeren heb je echt inhoudelijke deskundigen nodig, mensen die dagelijks met het proces werken. Denk aan applicatiebeheerders, kwaliteitsmedewerkers en vakinhoudelijke deskundigen. Juist zij weten vaak het beste waar de risico’s liggen.”
Een goede DPIA kan dan ook alleen maar tot stand komen wanneer alle betrokken partijen samenwerken, vult Weststeijn aan. “Naast de procesverantwoordelijke, zijn dat ook de PO, FG, CIO, CISO en de verwerker, maar liefst ook degenen van wie de privacy moet worden beschermd. Dat is niet eenvoudig, maar absoluut noodzakelijk wanneer we werken met stelselmatige monitoring, op grote schaal gegevens verwerken of innovatieve nieuwe technologische oplossingen willen inzetten. Het ondersteunt het vertrouwen van onze inwoners in de overheid als wij kunnen laten zien dat we werken aan de bescherming van hun privacy.”
Aanbevelingen
Andere aanbevelingen van Meinders zijn dan ook meer te investeren in de kennis van de ambtenaren, die bij zo’n DPIA betrokken zijn, bijvoorbeeld in de vorm van scholing, en om betere procedures in te richten, waarbij in het beleid duidelijk de verantwoordelijkheden in de lijn zijn vastgesteld. Ook heeft ze als aanbeveling om te werken met vaste formats voor het uitvoeren van een DPIA. Enschede koos voor het format van Francis Young en Sander van de Molen, auteurs van het ‘Handboek DPIA’s’ uit 2020.
Daarnaast pleitte Meinders in de memo voor betere zakelijke archivering, zodat je eerdere DPIA’s binnen de gemeente makkelijker kunt terugvinden.
De aanbevelingen en inzet van Meinders hebben effect gehad: in 2023 had Enschede vijf DPIA’s’ afgerond en 24 opgestart. Dit jaar staat de teller medio september al op twaalf afgeronde DPIA’s, en34 in ontwikkeling. “Het vliegwiel komt mooi op gang”, zegt ze tevreden.
Gemeenten kunnen van elkaar leren
Wat de uitvoering van een DPIA ook makkelijker maakt is om meer samen te werken met andere gemeenten, en elkaars ervaring en kennis delen. Het is dan ook vooral pragmatisch om meer samenwerking te zoeken met andere gemeenten, stelt Meinders. “Heel veel processen die wij uitvoeren, voeren andere gemeenten ook uit. Ik zie op de VNG-fora al een levendige vraag en aanbod aan het ontstaan is. Als een gemeente een DPIA uitvoert, wordt er naar ervaringen van anderen gevraagd. Ik denk dat we daar nog veel verder mee kunnen gaan.”
Daarom heeft Meinders bij het Nederlands Genootschap van Functionarissen voor de Gegevensbescherming (NGFG) een commissie opgezet, waarin al 10 grotere gemeenten zijn betrokken. Daarnaast is ze actief in de DPIA-werkgroep van de VNG. “Met elkaar kijken we wat minimaal nodig is om DPIA’s beter met elkaar te kunnen uitwisselen. We hebben toen ook de sjablonen die we in Enschede gebruiken gedeeld. Ik ben ook heel blij met de nieuwe Handreiking. Alle elementen die je minimaal in de DPIA moet terug kunnen vinden staan er in. Ook hoop ik dat we het met zijn allen voor elkaar krijgen dat de DPIA-bibliotheek met eerder uitgevoerde DPIA’s er komt, zodat we daar ook met elkaar beter kunnen samenwerken.”
Rozendaal is in ieder geval al langer in contact met andere gemeenten over DPIA’s, vertelt de burgemeester. “We willen de samenwerking tussen gemeenten stimuleren door goed uitgevoerde DPIA’s te delen. Dit bespaart niet alleen tijd en energie bij gemeenten, maar zorgt er ook voor dat de collectieve kracht van gemeenten optimaal wordt benut om de privacy van inwoners te waarborgen. We kunnen nog veel van elkaar leren.”
Klik HIER om de handreiking te downloaden.
