Functionele cookies

Wij plaatsen functionele cookies om deze website naar behoren te laten functioneren en analytische cookies waarmee wij het gebruik van de website kunnen meten. Deze cookies gebruiken geen persoonsgegevens.

Gepersonaliseerde informatie

Hiermee ontvangt u gepersonaliseerde informatie op onze website die wordt afgestemd op uw internetgedrag.

Op 25 mei 2016 trad de nieuwe Europese Privacyverordening – de Algemene Verordening Gegevensbescherming (AVG) – in werking. Organisaties hebben twee jaar de tijd om te voldoen aan de verplichtingen die de AVG meebrengt. Dat lijkt misschien lang, maar is dat ook zo? Als projectleider implementatie AVG roep ik alle gemeenten op om nu in actie te komen. We zijn al bijna halverwege de termijn van twee jaar en ervaring leert dat geen wetgever ooit te veel tijd geeft voor de implementatie van een wet. Voordat je start met de implementatie, is het goed om te weten wat de vijf grootste wijzigingen zijn die de AVG meebrengt voor de gemeente. Let wel, dit zijn de ‘big five’, de daadwerkelijke actiepuntenlijst is langer.

In deze vijfdelige serie vind je hier per wijziging de handvatten die je helpen bij de implementatie. Maar eerst: wat zijn nou de vijf belangrijkste ontwikkelingen voor gemeenten?

1. Haal de bezem door de gegevensverwerkingen

Onder de AVG moet je zelf kunnen aantonen dat de verwerkingen van persoonsgegevens compliant zijn met de geldende privacywetgeving. Je kunt niet langer een melding doen bij de Autoriteit Persoonsgegevens en verder afwachten of ze langskomen. Je moet zelf als gemeente een register van verwerkingen bijhouden (en publiceren), waarin je precies vastlegt welke persoonsgegevens je met welk doel verwerkt, wie die gegevens ontvangen, wat de grondslag ervan is, hoe lang de gegevens worden bewaard, et cetera. Kortom, je moet met de billen bloot. En dan wil je zeker niet dat er onduidelijkheden bestaan over de verwerkingen.

2. Loop de bewerkersovereenkomsten na

Als je al hebt vastgesteld dat met iedere bewerker een bewerkersovereenkomst is afgesloten, moet ook de inhoud ervan worden nagelopen. In de AVG is veel uitgebreider dan in de Wet bescherming persoonsgegevens (Wbp) beschreven welke onderwerpen opgenomen moeten worden in de bewerkersovereenkomst. Hier pas je het model dat je gebruikt op aan. En als je dan toch bezig bent, wijzig dan ook de terminologie. Zo wordt de bewerkersovereenkomst ‘verwerkersovereenkomst’ en wordt deze gesloten tussen de ‘verwerkingsverantwoordelijke’ en de ‘verwerker’.

3. Controleer de processen voor de privacyrechten van de burger

De burger heeft onder meer het recht om de gemeente te vragen om inzicht te geven in welke persoonsgegevens de gemeente over hem verwerkt. Dit gaat dus verder dan alleen de inzage in de Basisregistratie Personen (BRP). Gemeenten hebben zeker tientallen applicaties waarin zij persoonsgegevens verwerken die niet uit de BRP afkomstig zijn. Daarnaast bestaan er – helaas - nog talloze lijstjes met nog meer persoonsgegevens. Ook deze bronnen moet je raadplegen op het moment dat de burger inzage doet. Dit is een tijdrovend proces, terwijl je het resultaat binnen vier weken moet opleveren. Met de verhoogde slagkracht van de AP zowel in menskracht, als in boetes in het achterhoofd, is het zeker de moeite waard om nog eens kritisch door deze processen heen te lopen.

4. Incorporeer de PIA in de werkprocessen

Een verwerking van persoonsgegevens mag je onder de AVG niet starten, als er geen Privacy Impact Assessment (PIA) is opgesteld en goedgekeurd door de Functionaris voor de Gegevensbescherming. Een PIA brengt de risico’s van de verwerking in kaart voor de privacy van de betrokkenen. Het invullen van de PIA is niet voldoende, de risico’s die hieruit voortkomen moeten gemitigeerd met beheersmaatregelen en deze maatregelen worden belegd bij een verantwoordelijke. De ervaring leert dat het invullen van de PIA tijd kost en dat hierop weerstand kan ontstaan bij de medewerkers. Zorg daarom voor een duidelijk format, begeleiding bij het invullen en makkelijk toegankelijke best practices.

5. Stel een Functionaris voor de gegevensbescherming in

In Europa is lang gediscussieerd over welke organisaties een FG zouden moeten instellen (Alle? Risicovolle organisaties? Overheidsorganisaties?). Uiteindelijk is besloten dat in ieder geval alle overheidsorganisaties verplicht zijn een FG aan te stellen. Wanneer jouw gemeente dus nog niet de beschikking heeft over een FG, dan wordt het de hoogste tijd om hiernaar op zoek te gaan. Jouw gemeente is immers niet de enige die deze functionaris moet aanstellen…

Bovenstaande vijf wijzigingen moeten vóór 25 mei 2018 gereed zijn. Hiervoor is een strakke planning en een duidelijke verdeling van verantwoordelijkheden onontbeerlijk. Het is onmogelijk om deze veranderingen door te voeren binnen de organisatie zonder de inzet van de medewerkers. Bewustwording moet daarom als een rode draad door het project lopen. Bewust van de wijzigingen, bewust van het belang daarvan en bewust van de gevolgen.

Om je op weg te helpen bij het doorvoeren van alle veranderingen, deel ik op deze plek graag mijn ervaring met bovenstaande wijzigingen. 

 

 

 

Gerelateerde artikelen
Alle artikelen