Het is inmiddels alweer iets meer dan een jaar geleden dat de Algemene Verordening Gegevensbescherming in werking trad. De nieuwe privacywetgeving moet er vooral voor zorgen dat de privacy van Europese inwoners beter beschermd wordt, maar na een jaar lijkt de wet voornamelijk tot kopzorgen te leiden bij veel organisaties, waaronder gemeenten, op te leveren. Wat heeft een jaar met de AVG ons gebracht? 

Bouwstenen 

Met de komst van de AVG lag de focus voor veel Nederlandse gemeenten op het in kaart brengen van de talloze verwerkingen van persoonsgegevens in het register van verwerkingen en het maken van de juiste afspraken aan de hand van verwerkersovereenkomsten. Inmiddels heeft de Informatiebeveiligingsdienst ook een standaardverwerkersovereenkomst gepubliceerd, waarvan het gebruik voor gemeenten verplicht wordt. Deze onderdelen zijn belangrijke bouwstenen voor een organisatie om meer grip te krijgen op het zorgvuldig werken met persoonsgegevens. 

Dat is een continu proces, dat niet klaar is na een implementatieproject AVG. Het is essentieel om scherp te houden welke (persoons)gegevens je verwerkt, maar ook hoe je die gegevens verwerkt en hoe de gegevensstromen er in de praktijk uitzien. Recent bleek uit onderzoek van RTL dat er bij een jeugdzorginstelling grootschalig persoonsgegevens lekten, omdat er gebruik gemaakt werd van verouderde e-mailadressen. Informatievoorziening verandert voortdurend en daar moet je als privacybewuste organisatie op bedacht zijn. Bovendien kun je je in het bovenstaande geval afvragen of e-mail wel het juiste kanaal is om dergelijke informatie te delen. 

Houd het werkbaar 

De uitdaging is om een goede balans te vinden tussen het zorgvuldig omgaan met persoonsgegevens en het werkbaar houden van je primaire werkprocessen. Wij zien in de praktijk nog maar al te vaak dat men in een kramp lijkt te schieten, gepaard met kreten als ‘dat mag niet van de AVG’ of ‘zo kunnen we niet werken’.  

De uitdaging is om samen te kijken naar hoe het wél kan en daarbij gebruik te maken van de ruimte die de wet biedt. Wees je bewust van de risico’s, benoem die en maak vervolgens de afweging hoe je daar op een zorgvuldige manier mee om kunt gaan. Als je dat als organisatie op een goed onderbouwde manier doet, hoeft de wet absoluut niet zo beknellend te zijn als vaak gedacht (en geroepen) wordt, integendeel. 

Handvatten voor de uitvoering 

Het vinden en behouden van die balans is niet alleen de uitdaging voor Functionarissen Gegevenbescherming en Privacy Officers, maar bij uitstek voor de medewerkers die het primaire proces uitvoeren. Zij hebben de juiste handvatten nodig om scherp te blijven op het omgaan met persoonsgegevens en knelpunten of ontwikkelingen te signaleren. Zorgvuldig omgaan met persoonsgegevens is een continu proces. Dat is nooit af, maar je blijft leren en verbeteren. Dat betekent dat men elkaar scherp moet houden binnen organisaties.  

Enerzijds kan dat uitstekend door middel van bewustwordingscampagnes, maar het kan juist ook heel waardevol zijn om het onderwerp te integreren in werkoverleggen. Op die manier kun je privacy op een heel inhoudelijk niveau bespreken en kun je samen je afwegingen maken en vastleggen, bijvoorbeeld door middel van een besluit. Bovendien helpt het goed om met elkaar in beeld te houden waar men zoal tegenaan loopt. Wanneer je er binnen het overleg niet uitkomt, kun je daarnaast een privacy officer bij het overleg laten aansluiten om te adviseren.  

Op die manier kun je echt een lerende organisatie zijn als het gaat om privacy. Samen onderzoeken en onderbouwen hoe het wel kan. Ga met elkaar het gesprek hierover aan, maak heldere afspraken en je zult zien dat er binnen de AVG eigenlijk best veel kan. 

Meer weten?

Voor meer informatie kunt u contact opnemen met Wouter Le Febre , adviseur bij Telengy,  via telefoonnummer 06 55 29 77 09 of via e-mail: w.l.febre@telengy.nl.