of 59130 LinkedIn

Waarom gemeenten nog lang niet klaar zijn voor de AVG

Pieter Duijfjes Reageer

Inmiddels is iedere ambtenaar die betrokken is bij de veiligheid en bescherming van persoonsgegevens bekend met de Algemene Verordening Gegevensbescherming (AVG) die 25 mei 2018 van kracht gaat. Of de gemeente er klaar voor is, is een heel ander verhaal. 

Genoeg te doen
Uit een rondgang langs gemeenten blijkt dat er nog meer dan genoeg te doen is. Hoe komt het toch dat zelfs vijftien jaar na de invoering van onze Nederlandse Wet Bescherming Persoonsgegevens (WbP) privacybescherming nog steeds een lastige zaak is? Het simpele antwoord; het is een alles behalve makkelijke klus. Met de overheveling van taken van rijksoverheid naar gemeenten is het aantal systemen waarin persoonsgegevens voorkomen flink toegenomen.


Verkeerde ontvangers

Het gaat al snel om zo’n 175 systemen per gemeente. Deze zijn lang niet allemaal ‘state-of-the-art’. Nog altijd heeft menig gemeente oude systemen draaien die nauwelijks nog ondersteund worden door de technologieleverancier. Het is dan ook een hele klus om bijvoorbeeld toegangsrechten op orde te brengen en houden. En bovendien iedereen te instrueren wat wel en niet is toegestaan op basis van de nieuwe wetgeving.  Zo blijkt ook uit het aantal meldingen van datalekken bij Autoriteit Persoonsgegevens. Tot nu toe zijn 892 van de 7222 meldingen in 2017 afkomstig van gemeenten. Dat is bijna 12,5%. Daarbij gaat het veelal om het verstrekken van persoonsgegevens aan de verkeerde ontvanger.

 

Bewustzijn

Privacybescherming begint met je bewust zijn van eigen verantwoordelijkheden en consequenties van handelen. Wat zou jij doen als de broer van je zwager je vraagt om een adres op te zoeken in de gemeentelijke administratie? Hij wil een kennis opzoeken maar weet het adres niet meer. Dat mag weliswaar niet maar wat is er eigenlijk op tegen? Dan blijkt het om een blijf-van-mijn-lijf huis te gaan. Kortom, een datalek hoeft niet altijd moedwillig te zijn. Wat te denken van de ambtenaar die bedacht brieven over subsidies aan armlastigen dubbelzijdig af te drukken. De brief was maar 1 A4-tje. Op de achterkant stonden dus de contactgegevens van iemand anders. Zo kunnen goedbedoelde kostenbesparingen grote gevolgen hebben. Het gaat ook om inhoudelijke kennis. Bescherming van voornaam, achternaam en BSN-nummer weten we wel. Maar hoe zit het met geloof of financiële gegevens? Weet iedere ambtenaar welke gegevens goed beschermd moeten worden en hoe?

 

Autorisaties

De AVG schrijft voor dat inzage in de (bijzondere) persoonsgegevens voorbehouden is aan mensen die dit nodig hebben voor hun directe werkzaamheden. Dat klinkt logisch maar wat als de baliemedewerker dienstverlening combineert met back-office werkzaamheden? Voor de ene rol is toegang tot de gemeentelijke burgeradministratie nodig. Voor de andere functie zoals afhandeling van zwerfvuilmeldingen niet. Het is ondoenlijk om autorisaties voortdurend aan te passen als iemand van de ene naar de andere taak switcht. Verder moet monitoring goed geregeld zijn om gerichte voorlichting te geven over wat wel en niet mag en personen aan te spreken bij overtreding. Bovendien geeft dat inzicht in de oorzaak van een mogelijke datalek.

 

Datalekken

Dan is het nog zaak te bepalen wat er moet gebeuren bij een datalek. Wie doet de melding op welke manier? Wie moeten nog meer ingelicht worden en wat als de privacy officer met vakantie is? Oefening en voortdurende evaluatie kan geen kwaad. Kortom, er is alle begrip voor de complexiteit van het in praktijk brengen van privacybescherming van persoonsgegevens. Wetgeving toepassen op de dagelijkse operatie blijkt eens te meer geen sinecure als gemeenten ook nog hun handen vol hebben aan de uitbreiding van hun verantwoordelijkheden.

 

Pieter Duijfjes, Senior Consultant Informatiebeveiliging bij IT-dienstverlener Sogeti

Verstuur dit artikel naar Google+

Reageer op dit artikel
















Even geduld a.u.b.