Strengere privacy-regels voor rekenkamers
Elk rekenkamer – zowel die van de gemeenten als die van provincies en waterschappen – moet kunnen aantonen dat zij zich aan de Europese Algemene Verordening Gegevensbescherming (AVG) houden die volgende maand van kracht wordt. Doel is dat de privacybescherming voor alle personen van wie een rekenkamer gegevens verwerkt, daardoor wordt verbeterd.
Ook lokale rekenkamers ontkomen er niet aan: zij moeten voor 25 mei een functionaris gegevensbescherming (FG) hebben. Rekenkamers die in gebreke blijven, riskeren een boete van de Autoriteit Persoonsgegevens.
Elk rekenkamer – zowel die van de gemeenten als die van provincies en waterschappen – moet kunnen aantonen dat zij zich aan de Europese Algemene Verordening Gegevensbescherming (AVG) houden die volgende maand van kracht wordt. Doel is dat de privacybescherming voor alle personen van wie een rekenkamer gegevens verwerkt, daardoor wordt verbeterd. Het gaat bijvoorbeeld niet alleen om gegevens van burgers die zij in het kader van onderzoek verzamelen, maar ook om gegevens van ambtenaren, raadsleden of geraadpleegde experts. Ook als onderzoek wordt uitbesteedt, blijft de rekenkamer verantwoordelijk.
Tijdsdruk
De rekenkamers hebben de keuze uit drie varianten: ze stellen de FG van de gemeente (provincies of waterschap) aan voor de rekenkamer, ze stellen intern iemand als FG aan of huren er een externe voor in, of ze doen dat samen met andere rekenkamers. De NVRR, de koepelorganisatie van rekenkamers en rekenkamercommissies, waarschuwt er voor dat de onafhankelijkheid van de FG van de gemeente mogelijk niet is te waarborgen. Zo zou in de toekomst een belangenconflict kunnen ontstaan, bijvoorbeeld als een rekenkamer onderzoek uitvoert naar de naleving van de AVG binnen de gemeente en daarbij tevens het functioneren van de FG beoordeelt. Met een eigen FG kan dat probleem worden ondervangen. ‘Voor de meeste rekenkamer(commissie)s zal het vanwege de tijdsdruk verstandig zijn om gebruik te maken van de FG van de gemeente’, aldus de NVRR.
Stappenplan
Om ervoor te zorgen dat rekenkamers op tijd klaar zijn voor de AVG, heeft de koepelorganisatie een speciaal tien-stappenplan opgesteld. Een ervan is om nat te gaan of er een privacy-beleid dient te worden opgesteld. Dat is afhankelijk van de omvang en aard van de verwerkingen van persoonsgegevens. Zeker als het aantal verwerkingen toeneemt, ze complexer worden of grotere gevolgen hebben voor de betrokkenen, doen rekenkamers er volgens dat stappenplan er verstandig aan zo’n gegevensbeschermingsbeleid op te stellen.
Een evt. noodzaak van een DPO ligt niet direct voor de hand.
Maar het door een rekenkamer rechtstreeks beoordelen van het functioneren van de DPO lijkt mij te berusten op een misverstand.