Gemeenten niet proactief met Avg
Gemeenten komen vaak pas in actie ná privacy-incidenten, concludeert de Tilburgse rechtenstudent Jeroen van Dijk in zijn afstudeeronderzoek onder 187 gemeenten. Gemeenten hebben zich volgens Van Dijk maar matig voorbereid op de inwerkingtreding van de Algemene verordening gegevensbescherming (Avg). De achterstand op het gebied van verantwoording kan onder meer worden ingehaald door gemeentebreed met PDCA-cycli te gaan werken.
Gemeenten komen vaak pas in actie ná privacy-incidenten, concludeert de Tilburgse rechtenstudent Jeroen van Dijk in zijn afstudeeronderzoek onder 187 gemeenten. Gemeenten hebben zich volgens Van Dijk maar matig voorbereid op de inwerkingtreding van de Algemene verordening gegevensbescherming (Avg). De achterstand op het gebied van verantwoording kan onder meer worden ingehaald door gemeentebreed met PDCA-cycli te gaan werken.
Beheersen verantwoordingsplicht Avg
Van Dijk behandelt in zijn onderzoek de verplichtingen van gemeenten onder de Avg, de stand van zaken op het gebied van naleving, en de beheersing van de verantwoordingsplicht door gemeenten. Hoofdvraag is wat de randvoorwaarden zijn voor een beheersing van de verantwoordingsplicht conform de Avg. Daarvoor enquêteerde Van Dijk 187 gemeenten van afwisselende omvang en nam hij zes interviews af.
Naleving langzaam op gang
Naar aanleiding van die enquêtes en interviews komt Van Dijk tot de constatering dat gemeenten, een jaar na de inwerkingtreding van de Avg, ‘langzaam op gang’ komen met de naleving. Hoewel de meeste gemeenten voldoen aan hun plichten onder de Avg en dat ook aantoonbaar kunnen verantwoorden, is er volgens Van Dijk onder meer nog vooruitgang te boeken. Bijvoorbeeld op het vlak van verwerkingsovereenkomsten: slechts één procent van alle geënquêteerde gemeenten geeft aan een overeenkomst te hebben met alle relevante verwerkers van persoonsgegevens. Gemeenten geven aan dat zij met zóveel verwerkingsprocessen te maken hebben, dat het erg lastig is om met elke verwerker een overeenkomst te sluiten.
Fg’s lopen achter feiten aan
Ook vinden gemeenten het, mede omdat er nog jurisprudentie ontbreekt, lastig in interne processen invulling te geven aan de open normen in de Avg. Zo weten gemeenten bijvoorbeeld niet goed hoe gedetailleerd zij op informatieverzoeken van burgers moeten ingaan. Fg‘s (functionaris gegevensbescherming) treden volgens Van Dijk vooral op na incidenten en lopen vaak achter de feiten aan. Om hen een meer proactieve rol te geven, moeten de fg’s vaker deelgenoot worden gemaakt van gegevensverwerkingsprocessen, bepleit Van Dijk. Hoewel gemeenten en masse inzetten op bewustwording bij het personeel, gebeurt dat nog niet altijd gemeentebreed, terwijl dit volgens Van Dijk wel essentieel is.
PDCA-cycli
Van Dijk beveelt aan dat gemeenten ter verbetering van de naleving met PDCA-cycli gaan werken (Plan, Do, Check, Act). Ook moet er verder gewerkt worden aan de kennis en het verantwoordelijkheidsgevoel van personeel. Invulling geven aan de open normen wordt naar verwachting eenvoudiger als er komende jaren jurisprudentie ontstaat. Wel zal daardoor minder ruimte zijn voor het invullen van die open normen, schrijft Van Dijk.
‘Draag privacybeleid uit voor juiste houding’
Als randvoorwaarden voor de beheersing van de verantwoordingsplicht identificeert Van Dijk er uiteindelijk drie: een juiste houding, een gemeentebrede aanpak, en een heldere invulling van de verantwoordingsplicht. Voor een juiste houding onder medewerkers is het volgens Van Dijk onvoldoende om een paar presentaties te geven of instructies op het intranet te zetten. Interactieve middelen zoals e-learningmodules zijn volgens hem effectiever. Kennis en bewustzijn van de Avg en een bijbehorend verantwoordelijkheidsgevoel moeten volgens Van Dijk nog groeien in de onderlagen van gemeentelijke organisaties. Hij roept bestuurders op om het privacybeleid meer uit te dragen.
Fg midden in organisatie
Voor een gemeentebrede aanpak is het van belang dat de fg niet naast de organisatie staat of erboven hangt, maar er middenin staat en ondersteund wordt door bijvoorbeeld de ciso (chief information security officer) en de po (privacy officer). Zij moeten in de hele organisatie bekend zijn, en benaderbaar. Door per afdeling een accenthouder aan te stellen die contact met de fg onderhoudt, kunnen fg’s over de breedte van de organisatie toezicht houden. Afdelingen communicatie kunnen helpen de boodschap van de fg door de gehele organisatie te verspreiden.
Keuzes uitleggen
Om goed invulling te geven aan de verantwoordingsplicht is het volgens belangrijk dat gemeenten hun keuzes en interpretaties van de Avg goed kunnen uitleggen. Het kunnen uitleggen van die keuzes is volgens Van Dijk cruciaal voor het voldoen aan de verantwoordingsplicht.Ook moeten de functies van de fg, de ciso en de po goed zijn ingebed in de organisatie. Uitwerkingen van DPIA’s (Data Protection Impact Assessments) worden vaak door gemeenten gebruikt om specifieke verwerkingsprocessen te verantwoorden.
Reacties: 5
U moet ingelogd zijn om een reactie te kunnen plaatsen.
Dit geeft maar weer aan waarom "het zich bewust zijn met het product en de regels daaromtrent a.k.a. awareness" een niet te onderschatten onderdeel hiervan is. Training en begeleiding is nogal vaak een ondergeschoven "kindje". het afdwingen van de AVG regelgeving is ook sterk afhankelijk van de technische mogelijkheden van de softwaresystemen/platformen waar men de informatie mee verwerkt!
Daarom is het inderdaad raadzaam om voor naleving van de AVG een Data Protection Impact Assessment (DPIA) of Privacy Impact Assesment (PIA) uit te voeren. U vindt de templates overal...) Aan de hand van de gegevensbescherming effectbeoordeling worden de risico's van gegevensverwerkingen op prioriteit bepaald, zodat vervolgens de juiste beheersmaatregelen gekozen en geïmplementeerd kunnen worden.
Voer elke keer een (D)PIA uit vóórdat een project, proces of softwaretoepassing van start gaat. Op die manier weet u als organisatie beter hoe de verwerking van persoonsgegevens worden uitgevoerd.
Deze uitkomst(en) van een (D)PIA vormen dan ook een goed uitgangspunt voor het toepassen van uw "privacy by design". Daarnaast Bovendien creëert u met het het uitvoeren van een (D)PIA bewustwording van gegevensbescherming binnen de organisatie. Om deze redenen is het raadzaam om ook een DPIA uit te voeren als dit onder de AVG niet verplicht is.
Mijn "two cents of PDCA-cycle"
Ik maak bijvoorbeeld persoonlijk gebruik van de ingebouwde DLP- (data verliespreventie) beleidsregels in Office365 voor het kunnen detecteren en afdwingen van beleidsregels onder bepaalde voorwaarden zoals Inhoud detecteren in gedeelde informatie die wordt gedeeld met personen of onbevoegden binnen/buiten mijn organisatie. Waarbij de volgende typen gevoelige informatie Debetkaartnummer EU, EU Driver's License Number, EU National Identification Number, EU Passport Number, EU Social Security Number (SSN) or Equivalent ID, EU Tax Identification Number (TIN) automatisch worden gedetecteerd. en kan ik hierbij diverse acties laten plaatsvinden, zoals het doorsturen van Incidentrapporten naar de ciso, de fg en de eindgebruiker die de regel overtreedt! Een goed opgeleide beheerder kan dit net als ik instellen. Elke organisatie die dat wenst kan zelfstandig DLP regels maken en uitbreiden...maar goed, ik mag gebruik maken van Office 365!