Functionele cookies

Wij plaatsen functionele cookies om deze website naar behoren te laten functioneren en analytische cookies waarmee wij het gebruik van de website kunnen meten. Deze cookies gebruiken geen persoonsgegevens.

Gepersonaliseerde informatie

Hiermee ontvangt u gepersonaliseerde informatie op onze website die wordt afgestemd op uw internetgedrag.

De Algemene Verordening Gegevensbescherming (AVG) verplicht organisaties om een register van verwerkingen in te stellen: een openbaar register waarin alle verwerkingen zijn opgenomen met daarbij het doel, de grondslag, het soort persoonsgegevens, de ontvangers van die gegevens, eventuele bewerkers etcetera.

In mijn artikel De AVG vraagt nu actie! zette ik de vijf belangrijkste aandachtspunten uit de AVG op een rij. In dit artikel zoom ik in op het feit dat de komst van de AVG aanleiding geeft om met een kritische blik naar alle verwerkingen van persoonsgegevens binnen de gemeente te kijken. Om te voorkomen dat je overstelpt wordt met Wob-verzoeken, media-aandacht en vragen aan de Gemeenteraad, is het raadzaam om al die verwerkingen het komende jaar grondig door te lichten. Maar waar te beginnen? Ik benoem de drie belangrijkste punten.

1. Bepaal het doel en de grondslagen

Een verwerking van persoonsgegevens mag uitsluitend plaatsvinden als hiervoor voorafgaand aan de verwerking een doel is vastgesteld en als een van de grondslagen van art. 8 Wbp (AVG) hierop van toepassing is. Dit lijkt logisch, maar uit de praktijk blijkt het tegendeel. Gegevens worden verzameld ‘niet omdat het moet, maar omdat het kan’. Want al deze persoonsgegevens kunnen altijd nog eens van pas komen. Maar dat is niet hoe de AVG is bedoeld.

Stel om te beginnen vast welke gegevens voor welk doel verzameld worden. De grondslag voor de gegevensverzameling bepaalt of het doel dat je bedacht hebt ook is toegestaan.

Dit houdt in: Als gemeente A van al haar inwoners registreert of zij in het bezit zijn van een cavia heeft zij daarmee misschien een bepaald doel voor ogen (het bepalen van de caviadichtheid binnen de gemeente), maar deze grondslag is niet terug te vinden in de opsomming in art. 8 Wbp. Gemeente A heeft voor dit doel geen wettelijke grondslag of publieke taak en evenmin is sprake van een van de andere grondslagen, zoals toestemming van de betrokkene. Een heel creatieve ambtenaar zou dan wijzen op de ‘restcategorie’ gerechtvaardigd belang van de gemeente. Echter, deze grondslag komt onder de AVG te vervallen voor overheidsorganen. Dit betekent dat voor verwerkingen die ooit zijn aangevangen onder de grondslag ‘gerechtvaardigd belang’ er óf een nieuwe grondslag moet worden gevonden óf de gemeente moet deze verwerkingen beëindigen.

2. Let op proportionaliteit en subsidiariteit

Stel vast dat de gemeente alleen die gegevens verzamelt die noodzakelijk zijn om dat doel te bereiken.

Vraag je af: is het nodig dat gemeenten bij elke melding over een losse stoeptegel ook de naam, het adres en het telefoonnummer van de melder registreren? Het doel is toch om de stoeptegel recht te leggen? Nee, gemeenten willen klantvriendelijk zijn en de melder informeren dat de tegel weer recht ligt. Er zijn genoeg burgers die hierop niet zitten te wachten, die zien dat vanzelf wel. Zo koos de gemeente Utrecht ervoor om de keuze om gegevens achter te laten aan de melder over te laten. Klantvriendelijkheid heeft immers niets te maken met denken vóór de klant, maar met meedenken mét de klant. Kritisch zijn over welke gegevens je verzamelt, betekent dat je voor elk gegeven bedenkt of het gegeven ‘noodzakelijk’ (groen licht) of alleen ‘handig’ (rood licht) is.

Weeg tegelijkertijd bij iedere verwerking af of de gegevens niet op een manier verkregen kunnen worden die minder ingrijpend is voor de privacy. Denk hierbij aan het voorbeeld van het volgen van voortijdig schoolverlaters. Informatie over de aanleiding van dit type schooluitval kun je als gemeente delen door de specifieke omstandigheden van de betreffende jongere te delen. Beter alternatief is om deze omstandigheden op een abstracter niveau te delen, waardoor deze omstandigheden niet langer tot een individu te herleiden zijn. Zo bereik je hetzelfde doel, maar is het minder ingrijpend voor de privacy.

3. Controleer bewaartermijnen

Gemeenten gooien maar heel weinig gegevens weg. Dat kan verschillende redenen hebben.
1.Uit angst om iets weg te gooien dat later eventueel nog nodig is.
2.Er wordt niet aan gedacht om documenten weg te gooien, omdat deze rustig staan te verstoffen in een (digitaal) archief.
3.Digitale opslag kost inmiddels zo weinig meer dat deze overbodige archiefvoorraad niet opvalt op de begroting.

Voor veel documenten heb je rekening te houden met een maximale houdbaarheidstermijn. Deze termijn vind je terug in de Archiefwet waar voor een heel aantal documentsoorten is opgenomen hoe lang deze bewaard moeten worden.

Vernietig de documenten waarvoor de termijn is verstreken de documenten (er is immers geen reden meer om ze te bewaren).

Voor documenten waarvoor geen specifieke termijn is vastgesteld, geldt dat deze niet langer bewaard mogen worden dan noodzakelijk is. Dit is een vaag begrip, omdat er zo veel verschillende documenten bestaan die allemaal een andere bewaartermijn kunnen hebben.

Bepaal als gemeente binnen ieder proces hoe lang documenten nodig zijn voor dat proces, waarbij ook rekening wordt gehouden met bijvoorbeeld bezwaar- en beroepsprocedures. Gegevens die niet langer nodig zijn moeten vernietigd worden. Dat er na 20 jaar nog steeds gegevens bestaan over een gehuurde gymzaal kan worden bestempeld als ‘vreemd’. En ‘vreemd’ is binnen het privacyrecht vaak een risico. Immers, op alle gegevens die een gemeente bewaart rust een risico dat ze ‘lekken’. En als dat gebeurt, dan is sprake van – jawel -  een datalek. Om de grote werkdruk van meldingen bij de AP en het informeren van betrokkenen of erger een fikse boete te voorkomen is het dus zaak om documenten met persoonsgegevens te vernietigen, zodra de noodzaak om deze te bewaren is komen te vervallen.

De eerste stap is nu gezet in het voldoen aan verplichtingen van de AVG. Voor het zetten van de tweede stap, hoe je bewerkersovereenkomsten naloopt conform de AVG, verschijnt op 6 maart het volgende artikel met daarin nieuwe handvatten.

Gerelateerde artikelen
Alle artikelen