‘Problemen rondom AVG onvermijdelijk’
De VNG heeft in aanloop naar de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) een stappenplan ontwikkeld voor gemeenten. De vereniging stelt in het document dat het onvermijdelijk is dat gemeenten in de praktijk tegen vragen en problemen aanlopen.
De VNG heeft in aanloop naar de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) een stappenplan ontwikkeld voor gemeenten. De vereniging stelt in het document dat het onvermijdelijk is dat gemeenten in de praktijk tegen vragen en problemen aanlopen.
Niet zelf het wiel uitvinden
Volgens VNG kan het daarom helpen om ervaringen en kennis over de AVG uit te wisselen, bijvoorbeeld slimme oplossingen voor problemen. ‘ Door met elkaar te praten, discussiëren en elkaar te helpen voorkomen we dat iedereen het wiel zelf uit moet vinden, en stimuleren we nadenken over privacy’, schrijft de organisatie. De VNG raadt gemeenten aan om als eerste een Functionaris Gegevensbescherming (FG) aan te stellen. Deze functionaris is een interne toezichthouder en heeft een informerende en adviserende taak. Ook kan de FG kan fungeren als centraal aanspreekpunt in het voorbereidingsproces.
Privacy-beleid opstellen en uitdragen
VNG beschrijft in het rapport nog een viertal stappen, waaronder een privacy-beleid opstellen en uitdragen. 'Privacy is een onderwerp dat van belang is voor alle medewerkers van een gemeente door de gehele gemeentelijke organisatie en niet alleen van de FG of privacy officer', schrijft de VNG. 'Dit houdt bijvoorbeeld in dat het college van B&W eindverantwoordelijk is, de gemeenteraad zijn controlerende taken kan uitoefenen, de lijnmanagers gedelegeerd verantwoordelijk zijn en er duidelijke privacyinstructies worden gegevens aan de professionals op de werkvloer. Zo komt privacy in de hele organisatie op de kaart.'
Modelovereenkomst
Het bijhouden van een register van verwerkingen en het aanpassen van werkprocessen ook opgenomen in het stappenplan. Een laatste stap is afspraken met derden maken. De VNG heeft onder meer een model verwerkersovereenkomst opgesteld dat gemeenten een handvat biedt om de eigen verwerkersovereenkomst met derde partijen vorm te geven.
Het stappenplan is hier te vinden
De VNG stelt "dat het onvermijdelijk is dat gemeenten in de praktijk tegen vragen en problemen aanlopen."
Me dunkt! Daarvoor is nu juist de implementatie-periode van de AVG bedoeld die nu al ruim 1,5 jaar loopt!
Voor degene die het nog niet begrepen had : de AVG is reeds van kracht, maar zal pas m.i.v. 25 mei 2018 in zijn volledigheid worden gehandhaafd. Dat de AP dat anders wil formuleren doet aan deze realiteit niet af.
De VNG "raadt gemeenten aan om als eerste een Functionaris Gegevensbescherming (FG) aan te stellen".
Me dunkt! Aanstellen van een FG is voor gemeenten *verplicht*.
En dat de FG een méér dan belangrijke rol kan spelen in het implementatieproces is op zijn zachtst gezegd 'voor de hand liggend'.
Toegegeven, er zíjn gemeenten die nog geen FG hebben aangesteld.
"Een privacy-beleid opstellen en uitdragen" zoals de VNG voorstelt lijkt een goed plan.
Ware het niet dat een gemeentelijk privacy-beleid er al drie decennia hoort te zijn.
Toegegeven, er zíjn gemeenten die nog in de 'bewustwordingsfase' verkeren.
En het afspraken maken met derden zou ik maar niet als laatste doen. In de vrolijke uitbestedingsgolf van de afgelopen decennia is de doorsnee gemeente dusdanig de regie kwijt geraakt dat accountable B&W, responsible lijnmanager en controlerende Raad nog nauwelijks weten waar het over gaat.
Laat staan dat men de forse compliance-eisen van de AVG kan mappen op werkprocessen, rapportage-stromen, archief-bestanden, Open Government Data en cloud-opslag.
"Dat hebben we contractueel afgedekt" is een vlieger die niet op gaat.
Opvallend genoeg worden in het VNG-stuk zaken als risico-analyse, 'Privacy-by-Design' en 'Privacy-by-Default' niet eens genoemd.
Dat de CISO slechts tussen neus en lippen door éénmaal als 'derde' wordt genoemd mag zorgen baren.