of 59345 LinkedIn

‘Dankzij AVG meer controle over gegevens’

De AVG was voor gemeenten een race tegen de klok. Ook nu voldoen nog veel niet helemaal aan de nieuwe regels. En ook wie denkt voorlopig wel klaar te zijn, heeft het mis, stelt Amersfoorts privacyfunctionaris Kirsten Eefsting. ‘De deadline van 25 mei was slechts een begin.’

De AVG was voor gemeenten een race tegen de klok. Ook nu voldoen nog veel niet helemaal aan de nieuwe regels. En ook wie denkt voorlopig wel klaar te zijn, heeft het mis, stelt Amersfoorts privacyfunctionaris Kirsten Eefsting. ‘De deadline van 25 mei was slechts een begin.’

Invoering in Amersfoort startschot voor veranderingen

‘Privacy en gegevensbescherming is een continu proces’, stelt Kirsten Eefsting, in maart begonnen als Functionaris Gegevensbescherming (FG) bij de gemeente Amersfoort. Ze maakt zodoende deel uit van de eerste lichting FG’s van de gemeenten. Een nieuwe functie, maar in Amersfoort kwam ze toch in een redelijk gespreid bedje terecht.

Op het moment dat ze begon was de Utrechtse gemeente al heel ver met de voorbereidingen op de AVG, de Algemene Verordening Gegevensbescherming. ‘Voordat ik aan de slag ging, was er hier ook al een interim FG aan het werk, die ik nu heb opgevolgd’, zegt Eefsting. Amersfoort geldt voor veel gemeenten als een lichtend voorbeeld. Het verwerkingsregister van Amersfoort wordt door de Vereniging van Nederlandse Gemeente (VNG) bijvoorbeeld als leidraad voor andere gemeenten gebruikt. Dat Amersfoort zo voortvarend aan de slag is gegaan met privacy en informatieveiligheid, is mede ontstaan vanwege een serieus datalek bij de gemeente in 2016. Het voorval haalde destijds uitgebreid de media. Dankzij de projectmatige aanpak die vervolgens werd gehanteerd, begeeft Amersfoort zich inmiddels tussen de ‘koplopers’ op het gebied van informatiebeveiliging en privacy.

Eefsting heeft de afgelopen maanden veel tijd geïnvesteerd in het uitvinden hoe de gemeente precies in elkaar zit en op welke manier de werkprocessen zijn ingericht. ‘Ik leer nu elke dag bij. Dat is nodig ook. Amersfoort heeft twintig afdelingen met meer dan duizend werknemers en vijfhonderd werkprocessen.’

De gegevensverwerkingen zijn bij Amersfoort in kaart gebracht voor het verwerkingsregister, iets dat iedere gemeente inmiddels voor elkaar moet hebben. ‘Door die stap weten we nu precies welke data we verzamelen en al in handen hebben. Maar het is natuurlijk een dynamisch document dat continu verandert.’

Verzwakt bewustzijn
De AVG betekende voor gemeenten het startschot voor een hoop veranderingen op de werkvloer. Het werd niet altijd met gejuich ontvangen. ‘Ambtenaren reageren tot nu toe wat wisselend op de veranderingen, maar de toon is overwegend positief’, aldus Eefsting. Soms hoort ze nog wel eens iemand ‘zo kan ik toch niet werken!’ roepen, wanneer het over nieuwe regels gaat.

Uit een enquête van Binnenlands Bestuur in juni jongstleden werd duidelijk dat niet iedere ambtenaar even enthousiast wordt van nieuwe regels. ‘Natuurlijk zijn er ambtenaren die door de AVG belemmeringen tegenkomen tijdens hun werk’, zegt Eefsting. ‘Bij veel handelingen moet je rekening houden met privacy. Even mailen is er niet meer bij. Er geldt in Amersfoort een protocol voor het veilig delen van informatie. Je moet bepaalde bestanden beveiligd versturen. Die maatregelen kosten iets meer tijd. Het heeft even nodig voordat men hieraan gewend is.’

Eefsting krijgt momenteel veel vragen over wat wel en niet mag. Ze verwacht dat de kennis van ambtenaren zal toenemen waardoor veel van die vragen vanzelf verdwijnen. ‘Het gaat bijvoorbeeld over toestemming vragen aan burgers voor verwerking van hun gegevens. De meeste verwerkingen mag de gemeente doen op grond van een bepaalde taak die de gemeente heeft en toestemming van de burger is dan niet nodig. In sommige gevallen moet wel toestemming gevraagd worden. Deze toestemming moet vervolgens aan verschillende eisen voldoen. Hiervoor is een format geschreven met eisen, maar per geval kun je te maken hebben met een andere doelgroep, een eigen invulling is dus mogelijk. Ambtenaren willen dan toch even controleren of hun zelfgemaakte tekst nog steeds voldoet aan de privacy-eisen.’

Wanneer ambtenaren een dergelijke check doen, nemen ze het resultaat ervan logischerwijs mee voor later. ‘Op een gegeven moment weten ze zelf beter wat wel en niet mag. Maar je moet er tegelijkertijd voor waken dat minder vragen niet ontstaan door een verzwakt bewustzijn in plaats van toegenomen kennis. We moeten daar scherp op blijven.’

Hype
Wat Eefsting betreft is er nu een fase ingegaan waarbij er allerlei tools worden ontwikkeld voor gemeenten om aan de AVG te voldoen. Het gaat bijvoorbeeld om tools voor documentatieplichten die bij de AVG horen, zoals het bijhouden van datalekken, contracten en registers. Eefsting: ‘De AVG heeft ervoor gezorgd dat gemeenten hun werkprocessen goed in kaart hebben. En wanneer je alles in beeld hebt, kun je goed beoordelen welke informatie je wel en niet nodig hebt. Je komt erachter welke gegevens je niét hoeft te hebben. Gemeenten zijn nu meer baas over hun eigen gegevens.’

De AVG-deadline van 25 mei hield de gemoederen dit voorjaar sterk bezig, er was sprake van een soort hype, zegt Eefsting. Vrijwel alle media schreven erover en bedrijven verkochten veel producten, zoals zelf ontwikkelde keurmerken, die werden gerelateerd aan de AVG. ‘Ik denk dat veel organisaties zijn geschrokken van de hoge boetes die in de media werden genoemd.

Maar bij de overheid is dat toch anders. Je hebt een voorbeeldfunctie en je moet het goed doen richting de inwoners. Die boete moet niet de drijfveer worden, maar privacy en goede informatieveiligheid.’ Veel gemeenten zijn volgens Eefsting goed op weg, maar er is voor een aantal ook nog heel veel te doen. ‘Als Amersfoort zijn goede positie wil behouden, mogen we er niet licht over denken.’

Gedrag
Een gemeente die écht klaar is met de AVG, is volgens Eefsting een illusie. ‘Dat ben je nooit. Het is een continu proces waarbij evaluaties nodig blijven en waarbij er telkens weer moet worden bekeken hoe privacy en informatiebeveiliging nóg beter geregeld kan worden. Alles verandert steeds weer: techniek en systemen, maar net zo goed ook werkwijze en het gedrag van mensen.’


Beroepsvereniging
Intussen zijn de eerste netwerken voor FG’s bij gemeenten aan het ontstaan. De NGFG, de beroepsvereniging voor FG’s, is daarbij belangrijk. Voor de meesten is het momenteel behoorlijk pionieren. Kirsten Eefsting: ‘Ik ben natuurlijk nog niet zo lang geleden aangesteld en FG’s kunnen natuurlijk erg veel leren van ervaring van collega’s. Iedereen doet het nu natuurlijk een beetje op zijn eigen manier, ook omdat het een nieuwe functie is en omdat FG vaak een eigen achtergrond hebben: sommigen zijn bijvoorbeeld jurist, anderen securityspecialist.’


Sleutelpersonen
Bij de gemeente Amersfoort is er voor alle afdelingen een eigen ‘sleutelpersoon privacy en informatiebeveiliging’ aangewezen. Die zien wat er op de afdelingen gaande is op het gebied van privacy en gegevensbescherming en geven de vragen die ze zelf niet kunnen beantwoorden door aan de privacy-juristen of informatiebeveiligingsadviseurs. De sleutelpersonen hebben een bepaald kennisniveau over privacy en informatiebeveiliging en krijgen anders de tijd om dat te ontwikkelen. Het voordeel van de sleutelpersonen is volgens Kirsten Eefsting dat ze goed weten wat er op een afdeling speelt en snel van ontwikkelingen op de hoogte zijn. ‘Hierdoor is er een goede verdeling van contactpunten in de hele organisatie. Wanneer ambtenaren alleen in de ‘bovenste lijn’ terecht kunnen met vragen, lopen ze vaak vast of denken ze: laat maar.’ Voor de sleutelpersonen in Amersfoort is een maandelijks overleg ingesteld dat meestal 1 tot 2 uur duurt. ‘Soms is dit gekoppeld aan een training, of presenteert een afdeling hoe zij het navolgen van privacyregels onder controle hebben’, zegt ze.

Verstuur dit artikel naar Google+

Reageer op dit artikel
















Even geduld a.u.b.