De ingangsdatum van de Algemene Verordening Gegevensbescherming (AVG) komt steeds dichterbij. Vanaf 25 mei 2018 worden alle organisaties die persoonsgegevens verwerken geacht aan deze wet te voldoen. Dit geldt niet alleen voor bedrijven, maar ook voor (lokale) overheden.

Naar de letter van de wet of naar de geest van de wet?

Op basis van mijn ervaringen durf ik te stellen dat het vrijwel onmogelijk is voor de meeste gemeenten om 100% te voldoen aan de AVG op het moment dat deze in werking treedt. Het is een hele klus om beleid, procedures en processen aan te passen, in te bedden en vervolgens in te laten slijten. Laat staan om de nieuwe rollen en verantwoordelijkheden, zoals die van de Functionaris Gegevensbescherming (FG), eigen te maken. Daarnaast zijn ketenpartners waaraan taken worden uitbesteed en softwareleveranciers vaak nog niet in staat om aan de strengere eisen te voldoen. Hierbij moet opgemerkt worden dat veel gemeenten vrij laat zijn begonnen met de implementatie en er moeizaam capaciteit vrijgemaakt wordt door gemeenten. Gemeenten hebben immers meer wettelijke verplichtingen waaraan gewerkt moet worden. Denk bijvoorbeeld aan de implementatie van de BIG, ENSIA, eIDAS en de Omgevingswet. Hierdoor is het, met name voor kleinere gemeenten, lastig om de benodigde kennis en capaciteit te mobiliseren om op al deze uitdagingen tegelijk te focussen.

Hoewel veel gemeenten momenteel focussen op het voldoen aan de letter van de wet, is het verstandig om tijdens de implementatiefase vooral in te zetten op werken naar de geest van de wet. Dit houdt in dat je je in bepaalde gevallen vooral gaat focussen op het behalen van de (achterliggende) doelen die de artikelen in de wet beogen, in tegenstelling tot een letterlijke en juridische interpretatie van de artikelen. Dit geeft ruimte voor een meer stapsgewijze en praktische benadering tijdens de implementatiefase.

In control komen en blijven; meerdere wegen naar Rome

In het vorige artikel van deze reeks, heeft collega Wouter Le Febre aandacht besteed aan bewustwording rond privacy en informatieveiligheid binnen de organisatie. Mijns inziens een cruciaal onderdeel om de implementatie van de AVG te laten slagen en effectief volgens de geest van de wet te kunnen werken. Uit eerdere ervaringen binnen gemeenten op het vlak van de implementatie van de BIG en het voorkomen van datalekken, is gebleken dat bewustwording de sleutel vormt. Je kunt namelijk als organisatie je beleid, procedures en processen nog zo goed op papier hebben staan, maar als medewerkers niet weten dat ze bestaan, waarom ze bestaan en wat er precies van hen verwacht wordt, is het allemaal voor niets.

Alle reden dus om als privacyteam erop uit te trekken binnen je organisatie, je te laten zien en mensen te informeren over wat de AVG voor hun werk betekent en wat van hen verwacht wordt. Van belang is om ze daar vooral bij te helpen in plaats van barrières op te werpen. Te vaak zie ik privacy officers, FG’s of CISO’s die alleen in beperkingen en verboden denken in plaats van (mee te denken naar) oplossingen. Hiermee maak je jezelf en de boodschap die je wilt overbrengen niet populair. Uiteraard hoef je niet de prijs van de populairste medewerker binnen je organisatie te winnen, maar het helpt als medewerkers je niet ontwijken en graag naar je toe komen voor advies, bijvoorbeeld over een onderwerp als verwerkersovereenkomsten. Nog een reden dus om (waar mogelijk) in te zetten op een implementatie naar de geest van de wet. Op deze manier kun je meer grip houden op ontwikkelingen binnen de organisatie: het stelt je in staat om de spin-in-het-web-functie te vervullen als privacy officer, FG of CISO.

In control met het register verwerkingen persoonsgegevens en de FG

Een ander belangrijk onderdeel dat organisaties grip moet geven op het thema privacy is het opstellen en bijhouden van een register, met daarin de persoonsgegevens die verwerkt worden en de grondslagen waarop deze verwerkingen gebaseerd zijn. Het beschikken over zo’n register is verplicht met de ingang van de AVG. Dit is niet zonder reden. Met de komst van de AVG is het namelijk ook verplicht om de eerdergenoemde FG aan te stellen die toeziet op de borging van privacy binnen de organisatie. En deze functionaris kan zijn werk alleen goed doen als hij een overzicht heeft van de verwerkingen binnen de organisatie die hij bedient. Organisaties die een FG en een register hebben, tonen aan in control te zijn over privacy en krijgen meer ruimte van de Autoriteit Persoonsgegevens (AP) met de AVG. De FG kan dan namelijk zijn rol als onafhankelijke lokale toezichthouder vervullen: een vooruitgeschoven post van de AP.

Ondanks de aanwezigheid van een VNG-model, worstelen gemeenten nog met de vorm en inhoud van dit register: neem ik naast de verplichte gegevens nog aanvullende kolommen met gegevens op of niet? Zet ik het register in een privacytool, of hanteer ik voorlopig gewoon een Excelbestand? Ook hierbij leiden meerdere wegen naar Rome. Het is handig om als FG of privacy officer per afdeling of team van de gemeentelijke organisatie een contactpersoon te hebben met kennis van de processen en wettelijke grondslagen binnen de afdeling. Hij of zij kan helpen bij de vulling van het register en kan tegelijkertijd als ambassadeur voor privacy worden ingezet binnen de afdeling.

Wat zijn de randvoorwaarden voor een succesvolle implementatie van de AVG?

Het belangrijkste aspect om de implementatie van de AVG te laten slagen binnen een organisatie, is dat de AVG en het thema privacy serieus worden genomen. Met de gegevens van jouw klanten of inwoners zou je als organisatie namelijk zorgvuldig moeten omgaan. Wanneer je jezelf in de rol van klant of inwoner begeeft, verwacht je dit immers ook. Om dit te bereiken moet er draagvlak zijn op het niveau van het management en het bestuur. Daarna kun je ervoor zorgen dat er voldoende kennis en bewustwording ontstaat binnen de gehele organisatie. Beschik je vervolgens ook nog over een privacyteam dat ook bereid en in staat is om mee te denken met de (belangen van de) business, dan heb je als organisatie het recept voor een geslaagde implementatie.

Meer weten?

Voor meer informatie kunt u contact opnemen met Roald Schel, adviseur bij Telengy, via tel. nr. 06 28 42 18 62 of via e-mail: r.schel@telengy.nl.

Partner en verbinder van de publieke zaak

Gemeente Geertruidenberg

Gemeente Hengelo

Gemeente Veenendaal

Gemeente Oosterhout/Equalit

Gemeente Voorst

Gemeente Meierijstad

Land van Cuijk

Gemeente Boxtel/MijnGemeenteDichtbij

Werkorganisatie Duivenvoorde

Gemeente Uitgeest/BUCH

Gemeente Maasgouw/MER

Liemers

Gemeente Almelo

Gemeente Alphen aan den Rijn

Gemeente Apeldoorn

Gemeente Arnhem

Gemeente Best

Gemeente Beuningen

Gemeente Borsele

Gemeente Breda

Gemeente Brummen

Gemeente Brunssum

Gemeente 's-Hertogenbosch

Gemeente Den Haag/VNG Realisatie

Gemeente Doesburg

Gemeente Dordrecht/Drechtsteden

Gemeente Drimmelen

Gemeente Eemsdelta i.o.

Gemeente Eindhoven

Gemeente Goirle

Gemeente Groningen

Gemeente Hoeksche Waard

Gemeente Hulst

Dijk en Waard

Gemeente Leiden/VRHM

Gemeente Moerdijk/ICTWBW

Gemeente Montferland

Gemeente Oisterwijk

Gemeente Overbetuwe

Gemeente Reimerswaal

Gemeente Roerdalen

Gemeente Rotterdam

Gemeente Sittard- Geleen

Gemeente Uden

Gemeente Utrechtse Heuvelrug

Gemeente Waddinxveen

Gemeente Westland

Gemeente Wijchen

Gemeente Zeist

Zwolle/GBLT

Naar de letter van de wet of naar de geest van de wet?

In control komen en blijven; meerdere wegen naar Rome

In control met het register verwerkingen persoonsgegevens en de FG

Wat zijn de randvoorwaarden voor een succesvolle implementatie van de AVG?

Meer weten?

Over Peter ter TelgteAdviseur

Andere publicaties van beheerder

Over Peter ter Telgte
Adviseur