Veenendaal pioniert met privacyfunctionaris

Gemeente Veenendaal is met het aanstellen van Wolfje Mijnders één van de eerste gemeenten buiten de G4 met een eigen privacyfunctionaris. Vanwege de aankomende Europese privacy-verordening die in 2018 in werking treedt zijn veel gemeenten bezig met de voorbereiding op nieuwe, zwaardere privacy-eisen. Mijnders vertelt over haar eerste maanden als aanspreekpunt voor privacy-onderwerpen.

Hoe ben je bij Veenendaal als privacyfunctionaris terechtgekomen?
Ik werkte voorheen als advocaat en consultant binnen het IT-rechtsgebied. In december 2015 begon ik als privacyfunctionaris voor gemeente Veenendaal. Het bedrijfsleven en de overheid zijn in mijn beleving nu echt wakker geworden als het gaat om privacy waarborgen. Dat heeft te maken met de bijbehorende verordening die eraan zit te komen. Om aan de bijbehorende eisen te voldoen zijn veel gemeenten bezig met het aanstellen van een ‘data protection officer’, ook wel een functionaris gegevensbescherming. Veenendaal heeft dat al gedaan. De gemeente wil de kennis over privacy zelf in huis hebben en niet afhankelijk zijn van externe inhuur.

De privacyfunctionaris is een nieuwe functie. Wat zijn jouw taken binnen de gemeente?

Ik word behoorlijk vrijgelaten bij het invullen van de functie. Dat komt natuurlijk ook omdat het een nieuwe functie is waarbij bepaalde vaste taken en de benodigde tijd daarvoor nog in kaart worden gebracht. Ik schuif momenteel aan bij diverse afdelingen zoals de directie, het klantcontactcentrum maar ook de groenvoorziening. Op iedere plek in de gemeente waar gegevens worden verwerkt breng ik nu de processen in kaart. Dat geldt ook voor nieuwe processen, bijvoorbeeld wanneer er een online applicatie bijkomt voor het personeelsdossier. Alle verwerkingen van persoonsgegevens moeten worden geregistreerd. Ik creëer daarnaast bewustzijn van privacy-risico’s en geef waar nodig juridisch advies. Momenteel werk ik het protocol bij datalekken uit, in het kader van de meldplicht. Transparantie over dataverwerkingen en lekken is een belangrijk doel voor de gemeente. De bedoeling is om uiteindelijk een privacy-beleid voor alle facetten van de gemeente uit te rollen.

Moest je in je eerste maanden veel privacy-problemen repareren?
Nee. Over het algemeen heeft deze gemeente het goed voor elkaar, ook voordat ik werd aangesteld. De gemeente voldoet bijvoorbeeld aan de zeven normen voor veilig gebruik van Suwinet. De bewustwording wordt daarnaast steeds beter. Het zijn uiteindelijk vooral menselijke fouten die privacy-schendingen veroorzaken. Ik denk dat daarom dat incidenten nooit helemaal kunnen worden uitgesloten. Wel kun je met een goed bewustzijn veel voorkomen.

Wat doet de gemeente om de bewustwording van privacy-risico’s te vergroten?
Tijdens de afgelopen nieuwjaarsbijeenkomst van gemeente werd een film vertoont met opnamen van ‘de mol’, een bezoeker die op een normale werkdag testte waar hij zoal kon komen binnen de gemeente en welke informatie hij kon ontfutselen. De film, voorzien van een WIDM-thema, had een ludiek karakter, maar heeft ambtenaren wel aan het denken gezet. Inmiddels zijn er meerdere ‘mollen’ actief, die bijvoorbeeld mails versturen met ‘groetjes van de mol’ wanneer iemand niet uitlogt. Ook maken we ambtenaren alert op het laten liggen van telefoons en tablets, of onbekenden die zich op de werkvloer begeven. Momenteel ga ik de afdelingen langs met presentaties om aandacht te vragen voor goede gegevensbescherming.
 

Hoe reageren collega’s op jouw aanwezigheid in de gemeente?
Zij hechten waarde aan privacy voor de burgers van Veenendaal en zijn daarom, denk ik, wel blij met mijn komst. Bij het invoeren van nieuwe werkmethodes zijn ze ook wel eens minder blij. Uiteindelijk kunnen ze de verbetering waarderen, maar een nieuwe methode om privacy beter te waarborgen neemt meestal extra werk met zich mee. Dat kan in eerste instantie weerstand opwekken. Ik krijg inmiddels regelmatig vragen binnen, zoals ‘mogen we dit adressenonderzoek zomaar uitvoeren?’,  'Welke gegevens van het onderzoek mogen we delen met andere partijen?’, ‘Mogen we alle jongeren in de gemeente een brief sturen als we een nieuwe website voor ze hebben gelanceerd?’. Voor vragen over de technische beveiliging van gegevens kunnen collega’s terecht bij de security officer. Die werkt naast mij eveneens aan de algemene veiligheid van persoonsgegevens. 

Heb je contact met andere gemeenten aangaande privacy-beleid?
Naar mijn weten zijn er in Amsterdam, Rotterdam, Utrecht en Den Haag ook privacyfunctionarissen aangesteld, maar in de kleine of middelgrote gevallen is dit behalve in Ede en Veenendaal, nog niet het geval. Er is wel contact met andere gemeenten over privacy-beleid. Met Veenendaal delen wij de kennis met buurtgemeenten zoals Renswoude en Ede. Ik zou in de toekomst graag in contact komen met andere privacyfunctionarissen, zodat we ervaring en kennis kunnen uitwisselen over deze nieuwe functie. Ik ben erg benieuwd hoe ze het in andere gemeenten aanpakken en met welke problematiek zij te maken hebben. Een jaarlijkse of halfjaarlijkse bijeenkomst zou bijvoorbeeld mooi zijn.