Bepaald geen overbodige luxe

Vijf maanden verplichte Functionaris Gegevensbescherming

door: Peter Mom, 24 oktober 2018

Vijf maanden AVG, dus vijf maanden een verplichte functionaris gegevensbescherming bij alle overheidsorganisaties. Hun eerste ervaringen leren: de Algemene verordening gegevensbescherming heeft het privacybewustzijn in de publieke sector bepaald geen overbodige boost bezorgd.

privacy - GDPR

Beeld: Pixabay / TheDigitalArtist

We spraken acht FG’s, de functionaris gegevensbescherming van een Noord-Limburgse gemeente niet meegerekend die op vragen antwoordde dat ze iBestuur geen verantwoording schuldig was. Weinig blijk van (AVG-doelstelling) transparantie. Utrecht doet het anders. Dat zet alle datalekken online. Transparant naar bevolking, leerzaam voor ambtenarij. Ook Katwijk is zeer uitvoerig met online-voorlichting over hoe ze met persoonsgegevens omspringt (maar verstopt deze op haar vernieuwde webstek onder ‘Over de site’).

Het verwerkingenregister moet beschrijven voor welke doelen welke persoonsgegevens worden gebruikt, waar ze vandaan komen, aan wie ze worden verstrekt en op welke grondslag dat allemaal gebeurt. Voor veel organisaties impliceerde deze AVG-verplichting een eerste keer zich rekenschap geven van welke data ze over burgers en medewerkers in huis hebben en waarvoor, of ze allemaal nodig zijn, wie ze kan inzien of wijzigen, of zij dat allemaal wel moeten kunnen, hoe lang ze worden bewaard en hoe het zit met de beveiliging.

“Voor de privacy is bijna niks beters dan de AVG”, zegt Diana Comijs, FG van het ministerie van Buitenlandse Zaken. Inhoudelijk verschilt de AVG niet veel van de voorgaande Wet bescherming persoonsgegevens (Wbp), maar: “De hoge boetes bij niet naleven hebben enorme indruk gemaakt, waardoor het onderwerp stevig op de kaart staat.” De AVG gaat nadrukkelijk over gegevensverwerking. “Iedereen moet zich afvragen wat met al die gegevens gebeurt. En het bewijs is omgedraaid: vroeger moesten betrokkenen aantonen dat iets verkeerd was gegaan, nu zijn het de organisaties die moeten aantonen dat ze het goed voor elkaar hebben. Dat helpt de discussie ook enorm.”

Aramis Jean Pierre, FG van DUO (Dienst Uitvoering Onderwijs), bevestigt dat. Met gegevens —het begint al bij de peuterspeelzaal— over 14,6 miljoen personen is DUO een zeer grote verwerker, de enige die voorheen al verplicht een FG had. Met de komst van de Wbp in 2001 trad ook Jean Pierre aan. Vijf jaar terug begonnen met de top, is heel DUO inmiddels gesensibiliseerd. Najaar 2016 startte een project ‘AVG-implementatie’ dat tot eind dit jaar doorloopt en dan een fase 2 krijgt voor ‘losse eindjes’. 480 verwerkingen zijn geïdentificeerd, waarvan nog zo’n 100 op rechtmatigheid moeten worden getoetst. Doordat DUO wetten en regelingen uitvoert zit het met rechtmatigheid meestal goed. 2 à 3 procent vergt extra aandacht. Bijvoorbeeld: zijn leveringen aan onderzoeksinstituten allemaal noodzakelijk?

Geluk

UWV is ook groot. Daar is Gerjan van Schaik FG, na eerder het programma ‘Invoering AVG’ te hebben geleid. Het bedrijfsonderdeel Gegevensdiensten regelt uitwisseling met ketenpartijen als SVB en de Belastingdienst. “We hadden dus goed inzicht in gegevensstromen.” Voor de AVG iets té goed. “Ze waren zeer gedetailleerd en moesten toegankelijk worden gemaakt.” Van Schaik noemt UWV, dat jaarlijks voor 100 miljoen euro ICT-projecten uitvoert, ‘een professionele verandermachine’. Toch haalde UWV half augustus het nieuws toen de verzendlijst van een mailing met 2400 adressen als attachment meeging met 96 mails. Behalve een melding aan de nationaal toezichthouder op de naleving van de AVG, de Autoriteit Persoonsgegevens (AP), leidde dit tot intern en extern onderzoek naar oorzaak en opties om herhaling te voorkomen. Ontvangers van de lijst is per brief en telefoon verzocht het bestand te deleten. Wie erin stond kreeg per brief excuses en tips hoe te handelen bij vermoedens van misbruik van gelekte data. Van Schaik signaleert een geluk bij dit ongeluk: het incident bevordert de acceptatie van het interne toezicht dat de FG geacht wordt uit te oefenen.

Ook bij DUO zijn datalekken naast pijnpunt uitdaging. Er is een speciaal proces voor ingericht, dat niet alleen intern melden, maar ook leren van gebleken risico’s en preventiemaatregelen faciliteert. Jean Pierre: “Het bestuur is er open over, intern en richting AP.”

Bij Tubbergen en Dinkelland is dat anders. Die indruk wekt althans het benoemingsbesluit van de FG: “Er is overleg mogelijk met de AP, maar er is geen meldingsplicht bij de AP voor onregelmatigheden.” Dexter Nijmanting, FG van beide gemeenten en van het gezamenlijk ambtenarenapparaat, stelt echter dat de formulering zodanig is bedoeld dat niet elk lek bij de AP moet worden gemeld. De AVG staat toe dat organisaties de potentiële schade inschatten als basis voor een beslissing wel of niet te melden.

Het is wel fijn als het lek dan intern wordt doorgegeven en de FG het niet van de AP moet horen. Dat gebeurde Hans van Impelen van de gemeente Utrecht. Werk & Inkomen had een e-mail aan 350 cliënten gestuurd met alle mailadressen voor iedereen zichtbaar, waarop een betrokkene de AP had ingeschakeld. Die sommeerde Utrecht dat lek binnen 72 uur te melden. Toen Van Impelen bij W&I opheldering vroeg, bleek men het daar niet als datalek te beschouwen en moest hij het privacybewustzijn wat opschudden. “Het is niet altijd helder wanneer je aan de AP moet melden. Daarom, bij twijfel meld ik.” Circa de helft, is zijn ervaring, moet worden gemeld. Wel moet elk lek gedocumenteerd worden.

Intussen blijft het aantal meldingen bij de Autoriteit Persoonsgegevens stijgen. Van 5849 in 2016 naar 10.009 vorig jaar. 1 september dit jaar stond de teller op 13.095.

Frictiegevaar

De FG is onafhankelijk toezichthouder en adviseur, een combinatie die kan schuren. Vermijden dat de privacyslager zijn eigen vlees keurt, doet Van Impelen door ‘wat’ en ‘hoe’ te scheiden. “Ik kan zeggen dat iets moet gebeuren. Dan is het aan de organisatie om te bepalen hoe ze dat doet. Vervolgens ben ik vrij om te beoordelen of dat goed is gedaan.” Aanvankelijk moest hij zich wel teweerstellen tegen een neiging om alles wat privacy was naar hem te schuiven. “Het is aan de organisatie, met het college of de burgemeester als verantwoordelijke. Ik kijk of het goed geregeld is.”

Van Impelen is in 2015 benoemd, Annemarie Walraven in mei dit jaar, tweeënhalve week voordat de AVG van kracht werd, voor de gemeenten Druten en Wijchen en hun gemeenschappelijke werkorganisatie. Zij herkent het frictiegevaar, maar heeft er nog geen remedie voor hoeven zoeken. “In de huidige fase is advisering nog belangrijker dan toezicht. Je komt pas aan toezicht toe als zaken in de kern goed zijn opgepakt.” De advisering reikt tot buiten de gemeente, bijvoorbeeld tot sportverenigingen. “Vroeger kregen we hele ledenlijsten, nu alleen aantallen en doen we steekproeven.”

Verwerkingsverantwoordelijken moeten zich goed rekenschap geven van de aard van FG-adviezen. Diana Comijs (Buitenlandse Zaken) wijst erop dat na een beleidsadvies om land A wel en B geen ontwikkelingshulp te geven de minister voor land B kan kiezen. “Maar een advies van de FG betekent vaak dat de minister zich aan de wet moet houden en dat laat zich niet zomaar negeren.”

Wanneer dataverwerking extern gebeurt, moet de organisatie met zo’n partij een verwerkersovereenkomst sluiten. “Een behoorlijke klus”, noemt Paul Korremans dat. Hij is zelf ook extern, als FG ingehuurd door Almere, Heerhugowaard en Langedijk, en door uitkeringsorganisatie Halte Werk van de laatste twee en Alkmaar. Een klus ook die soms verkeerd begrepen wordt. “Doel is het waarborgen van een zorgvuldige omgang met gegevens, maar de discussie gaat vaak over aansprakelijkheid: stel dat er een boete komt, wie moet hem dan betalen?” Andere AVG-opgave is de GEB, die voluit niet op Wordfeud past: gegevensbeschermingseffectbeoordeling. Deze moet risico’s inschatten en daartegen maatregelen formuleren. Afdelingen daarmee aan het werk zetten, is ook Korremans credo, verhoogt privacybewustzijn, kennis en kunde in de organisatie.

Kennis en kunde, wat moet een FG eigenlijk in huis hebben? De memorie van toelichting bij de Uitvoeringswet AVG is vaag. Die rept van ‘bepaalde vereisten’ en stelt dan: “Hij moet bijvoorbeeld over toereikende kennis beschikken”, waaronder begrepen wordt kennis over organisatie en verwerkingen, meespelende belangen en privacywetgeving. Verder moet hij ‘voldoende betrouwbaar’ zijn om ‘bijvoorbeeld’ belangen onafhankelijk te kunnen afwegen.

Er bestaan cursussen. Annerine Blufpand, (extern) FG van Katwijk, deed een tweejarige post-hbo-opleiding. Een ‘niet geaccrediteerde opleiding’, geeft ze aan, waarover ze niettemin zeer te spreken is.

Korremans, van 2004 tot 2017 bestuurslid van het Nederlands Genootschap Functionarissen Gegevensbescherming, zegt dat deze NGFG ‘een groot aantal jaren geleden een poging ondernomen’ heeft ‘om tot een beroepsstandaard te komen’. Echter: “We zijn daar toen niet in geslaagd omdat zo’n standaard per sector nuances vertoont en we misschien erg vroeg waren. Maar het zou goed zijn als er op korte termijn een zou komen.”

Diana Comijs ziet het NGFG, allemaal vrijwilligers, dat alleen succesvol doen als het professionaliseert, zoals beroepsorganisaties van advocaten en accountants dat doen. “Ik vind het een taak voor de AP. Die voelt zich echter niet geroepen en wijst naar het NGFG. Maar die is er, althans nu, niet toe in staat.”

Op 1 november organiseert iBestuur samen met CIP en VNG Realisatie in Theater Spant! in Bussum een netwerkbijeenkomst voor functionarissen gegevensbescherming om samen terug te kijken op en te leren van de eerste 150 dagen AVG.

U bent FG en u wilt meedoen? Er zijn nog enkele plaatsen beschikbaar.
Aanmelden bij Janneke Lenderink.

Toezicht

Begin september publiceerde de Autoriteit Persoonsgegevens, nationaal toezichthouder op de naleving van de privacywetgeving, het bericht ‘AP rondt controle af op functionaris gegevensbescherming overheid’. Men was daarmee klaar en meldde: “De AP controleerde 400 overheidsorganisaties, waaronder gemeenten, provincies, waterschappen, ministeries en een aantal zelfstandige bestuursorganen.”

Op één na bleken alle gecontroleerde organisaties een functionaris gegevensbescherming te hebben aangemeld bij de Autoriteit Persoonsgegevens.

De toezichthouder heeft maar een klein deel van de zelfstandige bestuursorganen gecontroleerd op de aanwezigheid van een functionaris gegevensbescherming. Volgens de woordvoerster is ‘een steekproef getrokken’. “Niet alle zbo’s zijn meegenomen.” Wel zijn alle gemeenten, waterschappen, provincies en ministeries gecheckt.

De categorieën gemeenten, waterschappen, provincies tellen samen 426 organisaties. Op almanak.overheid.nl staat een ‘Zbo-register’ met 110 organisaties. Een volledig onderzoek naar genoemde categorieën zou dus 426+110=536 organisaties omvatten. 536 minus 400: van het gros van de zbo’s weet de AP niet of ze een functionaris gegevensbescherming hebben.

De overheidsalmanak bevat ook 337 gemeenschappelijke regelingen – waaronder gezamenlijke belastingdiensten, sociale diensten, omgevingsdiensten, ambtelijke werkorganisaties en scholen – waarvan een aanzienlijk deel ook een FG moet hebben. Waarom de AP die buiten beschouwing heeft gelaten? Niet alle overheidsorganen kunnen gecontroleerd worden. Dus is een ‘ruime selectie’ gemaakt. De AP verwacht daarvan ‘een uitstralend effect’ naar andere organisaties. “Dat wil natuurlijk niet zeggen dat de gemeenschappelijke regelingen bij een ander onderzoek niet aan de beurt kunnen komen.”

Deze bijdrage is te vinden in iBestuur magazine 28. Download hier

tags: ,

- - - - -

De met een * gemarkeerde velden zijn verplicht. U ziet eerst een voorbeeld en daarna kunt u uw bijdrage definitief plaatsen. Uw e-mailadres wordt niet op de site getoond. Reacties zonder achternaam worden verwijderd. Anoniem reageren alleen in uitzonderlijke gevallen in overleg met de redactie.