Auteursarchief: Wouter Le Febre

Proactieve dienstverlening: een verkenning van ambities en uitdagingen

Lees het gehele artikel

Op 3 september 2024 vond PIM plaats, de Proactieve Informatie Middag over proactieve dienstverlening. In samenwerking met de gemeente Hoeksche Waard bestudeerden we dit interessante thema. Hierbij een korte inhoudelijke samenvatting van de dag.

Proactieve dienstverlening wordt steeds meer een speerpunt binnen Nederlandse gemeenten. Het streven naar dienstverlening die niet alleen reageert, maar ook anticiperend optreedt op de behoeften van inwoners vormt de kern van deze benadering. In Nederland zijn er voornamelijk initiatieven waarbij er proactief geïnformeerd en geadviseerd wordt. Zo hopen overheidsorganisaties bij te dragen aan een efficiëntere en meer dienstbare overheid waarbij regelingen en voorzieningen ook daadwerkelijk terecht komen bij de inwoners die dat nodig hebben.

Wat wil de inwoner?

Volgens onderzoeken uitgevoerd door het ministerie van Binnenlandse Zaken en Koninkrijksrelaties en de VNG ligt de kracht van proactieve dienstverlening in het vermogen van de overheid om de burgers te ‘ontzorgen’ door hen actief te benaderen met informatie en diensten die relevant zijn op cruciale momenten. Nu rijst de vraag, zitten inwoners hierop te wachten? Zoals zo vaak is het antwoord subtiel: ja, inwoners zijn enthousiast, zeker als het gaat om enkelvoudige dienstverlening zoals het uitgeven van een paspoort.

Er is minder vertrouwen als het gaat om complexere aanvragen voor bijvoorbeeld toeslagen en vergunningen, vooral wanneer er afhankelijkheden zijn van ketenpartners. De inwoner heeft daarbij behoefte aan een kanaal om persoonlijk in gesprek te gaan. Het vertrouwen in de overheid dat iemand heeft, speelt daarbij een belangrijke rol. Daarnaast vinden burgers het belangrijk, met name sinds de toeslagenaffaire, om bevestigd te krijgen of ze het goed hebben gedaan. Dit zijn cruciale aspecten om rekening mee te houden bij het opzetten en vormgeven van proactieve dienstverlening.

Voor meer onderzoeksresultaten lees ook:

Praktijkvoorbeelden

Voorbeelden van proactieve dienstverlening variëren van:

  • de automatische toekenning van kinderbijslag bij de geboorte van een tweede kind door de Sociale Verzekeringsbank;
  • gemeenten die inwoners wijzen op het verlopen van hun paspoorten;
  • vroegsignalering in de gemeente Zevenaar;
  • de armoede aanpakkers in Apeldoorn;
  • uiteenlopende voorbeelden in Gent;
  • tot de aanpak armoede in de gemeente Hoeksche Waard.

Deze praktijkvoorbeelden illustreren hoe digitalisering en datagedreven beleid kunnen samenkomen om de dienstverlening te personaliseren en te verbeteren.

Uitdagingen en ethiek

Hoewel de potentie groot is, zijn er ook kritische geluiden over proactieve dienstverlening. Zorgen over privacy en het gevoel van een ‘Big Brother’-overheid zijn niet ongegrond. De ethische dimensie van proactieve dienstverlening vraagt om een zorgvuldige afweging tussen het nut voor de inwoners en de bescherming van diens persoonlijke levenssfeer​. In de praktijk betekent dit afstemming met veel mensen, functies en afdelingen over, in deze volgorde:

  1. Willen we het?
  2. Mag het?
  3. Kan het?

Conclusie

De toekomst van proactieve dienstverlening lijkt veelbelovend maar vereist een zorgvuldige implementatie waarbij de inwoner centraal staat. Het evenwicht tussen actief informeren en het bewaken van de grenzen van privacy is cruciaal. Met de juiste aanpak kunnen gemeenten echter een meer inclusieve, responsieve en betrouwbare publieke sector bewerkstelligen.

Meer informatie

Neem voor meer informatie contact op met Wouter Le Febre,  06 55 29 77 09 of w.l.febre@telengy.nl of met Roel Ottens, 06 50 43 15 77 of r.ottens@telengy.nl.

Terug naar de nieuwsbrief Overheid in Beweging

 

Proactieve dienstverlening: aan de slag of afwachten? 

Lees het gehele artikel

Bestaanszekerheid is op dit moment een hot item in de politiek en in de samenleving. Onder meer door inflatie komen meer mensen financieel in de knel, ervaren zij meer stress en krijgen daardoor mogelijk zelfs te maken met meervoudige problematiek.   

Tegelijkertijd blijkt uit onderzoek dat veel mensen niet weten dat ze recht hebben op inkomensvoorzieningen zoals algemene bijstand en de aanvullende inkomensvoorziening ouderen (Aio) en daar dus ook geen aanspraak op maken. Om dit zogeheten niet-gebruik terug te dringen wordt het mogelijk om door middel van proactieve dienstverlening mensen actief te wijzen op hun recht op een inkomensvoorziening. Dit biedt kansen voor onder meer gemeenten om hun dienstverlening te verbeteren en kwetsbare burgers hiermee tijdiger te helpen en/of grotere problemen te voorkomen.  

Wetsvoorstel 

Het wetsvoorstel proactieve dienstverlening creëert voor de zogeheten SUWI-partijen (SVB, UWV en gemeenten) een juridische basis om persoonsgegevens uit te wisselen met als doel om te onderzoeken wie (waarschijnlijk) recht heeft op een inkomensvoorziening, maar deze op dit moment niet gebruikt. Als dat het geval blijkt, mogen deze mensen worden benaderd om een aanvraag te doen. 

 Op het moment van schrijven is het wetsvoorstel nog niet ingediend. Eerder dit jaar is de internetconsultatie afgerond en op dit moment voert de VNG met gemeenten een uitvoeringstoets uit over het wetsvoorstel. Een van de punten die hierin naar voren komt, is de mate waarin ook lokale minimaregelingen bijvoorbeeld meegenomen mogen worden bij proactieve dienstverlening. Deze zijn op dit moment nog geen onderdeel van het wetsvoorstel, terwijl ze een belangrijke schakel kunnen vormen in het ondersteunen van burgers. 

 Een belangrijk element in het wetsvoorstel is dat het geen verplichting schept voor onder meer gemeenten, maar dat het een wettelijke basis geeft om proactieve dienstverlening vorm te geven en uit te voeren.  

Als gemeente aan de slag met proactieve dienstverlening? 

Gemeenten kunnen op dit moment ook al aan de slag met proactieve dienstverlening. Sterker nog, tot op zekere hoogte zijn gemeenten dat al in de vorm van vroegsignalering, wat feitelijk ook een vorm van proactieve dienstverlening is. Daarnaast is het een belangrijke ontwikkeling om bijvoorbeeld mee te nemen in een nieuwe visie op dienstverlening, met daarbij ook een sterke focus op het sociaal domein.  

Het wetsvoorstel geeft de mogelijkheden om proactieve dienstverlening toe te passen, maar het is aan de organisaties zelf om hier invulling aan te geven. Welke vormen van proactieve dienstverlening passen bij de organisatie en de populatie? En hoe ga je dat implementeren en communiceren? Het is een onderwerp dat vraagt om visie, de juiste informatievoorziening en zorgvuldige afwegingen op het gebied van ethiek en privacy. Het kan namelijk mensen helpen, maar is tegelijkertijd een andere manier van dienstverlening die een meer indringend karakter kan hebben. Gemeenten hoeven niet op het wetsvoorstel te wachten om dit gesprek al te voeren en na te denken over de dienstverlening van morgen. 

Meer weten?

Voor meer informatie over hoe wij uw organisatie kunnen helpen, kunt u contact opnemen met  Wouter Le Febre,  06 55 29 77 09 of w.l.febre@telengy.nl.

Toestemming als wettelijke grondslag voor gegevensverwerking bij de overheid: mag dat?

Lees het gehele artikel

Voor de verwerking van persoonsgegevens is een wettelijke grondslag noodzakelijk op grond van de Algemene Verordening Gegevensbescherming (Avg). Voor overheden zal deze veelal gevormd worden door het uitvoeren van een taak van publiek belang of een wettelijke verplichting. In grote lijnen zijn dat ook de enige opties voor overheden.

Het gebruik van toestemming als wettelijke grondslag is tot op heden vaak problematisch geweest, omdat deze zelden vrijelijk gegeven kan worden door de betrokkene, een vereiste uit de Avg. Er is dan immers sprake van een afhankelijkheidsrelatie. Toch kan het in sommige situaties wel degelijk wenselijk zijn om toestemming als wettelijke grondslag te gebruiken, bijvoorbeeld wanneer wettelijke kaders niet toereikend zijn en een overheidsorganisatie een burger met complexe problematiek vanuit het oogpunt van dienstverlening verder wilt helpen.

Nieuwe uitleg

Tot voor kort stelde de Autoriteit Persoonsgegevens (AP), de Nederlandse toezichthouder op de privacywetgeving, dat toestemming bij overheid meestal geen geldige grondslag kan vormen, vanwege de genoemde afhankelijkheidsrelatie. Op 25 februari 2024 heeft de AP echter een uitleg gepubliceerd met indicaties dat zich een situatie voordoet waarin het geven van vrije toestemming aan een bestuursorgaan mogelijk is. Een aantal indicaties is onder meer:

  • De verwerking waarvoor u toestemming vraagt, is in het belang van de betrokkene. De verwerking is niet (ook) in uw belang;
  • U vraagt om toestemming als reactie op een concreet gebleken hulpvraag in een individueel geval. Of op een hulpvraag waarvan uit de praktijk bekend is dat die vaak voorkomt bij deze categorie betrokkenen. U doet hierbij niet actief onderzoek naar het bestaan van mogelijke hulpvragen.
  • Aannemelijk is dat de betrokkene, of de categorie betrokkenen, doorgaans niet goed zelf contact zal (kunnen) leggen met de juiste hulpverlenende organisatie.

Deze indicaties kunnen overheden helpen om het aspect van vrijelijk gegeven toestemming te kunnen onderbouwen, als onderdeel van een zorgvuldige afweging waarom die verwerking noodzakelijk en proportioneel is. Uiteraard blijven ook de (andere) vereisten rondom toestemming uit de Avg van kracht, zoals het kunnen intrekken van toestemming.

Impact voor overheden

De gevolgen van dit nieuwe kader van de toezichthouder voor overheden moet de komende tijd duidelijk worden. De AP heeft ervoor gekozen om dit niet aan de grote klok te hangen en zal naar verwachting later dit jaar op basis van praktijkervaring nader ingaan op deze ontwikkeling. Het is hoe dan ook een interessante ontwikkeling voor bijvoorbeeld het sociaal domein en overheidsbrede dienstverlening en het biedt organisaties wellicht handvatten om een burger die niet verder komt in de dienstverlening een stap verder te helpen.

Tegelijkertijd is het nieuwe kader zeker geen panacee voor alle knelpunten op het gebied van gegevensdeling en de Avg bij de overheid. Gegevensverwerking moet passend zijn bij de dienst- en hulpverlening van publiek belang, zoals uitgevoerd door overheden. Deze zou in beginsel nog altijd voort moeten komen uit de wettelijke taken die bijvoorbeeld de gemeente uitvoert. Ontwikkelingen zoals de komst van de Wams (Wet aanpak meervoudige problematiek in het sociaal domein) en de versnellingsaanpak van het Netwerk van Publieke Dienstverleners zijn daarom nog steeds essentieel om dit goed en zorgvuldig te organiseren en om grip te houden op de taken die overheid wel of niet uitvoert.

Meer weten?

Voor meer informatie over hoe wij uw organisatie kunnen helpen, kunt u contact opnemen met  Wouter Le Febre,  06 55 29 77 09 of w.l.febre@telengy.nl.

 

 

 

 

eIDAS 2.0 komt eraan: maar waar komt ‘ie vandaan? 

Lees het gehele artikel

Met de herziene eID verordening, ook wel eIDAS 2.0 genoemd, wordt een aantal tekortkomingen van de huidige eID verordening uit 2014 aangepakt. Zo komt er een zogeheten digitale Europese portemonnee (wallet) waarmee burgers binnen de Europese Economische Ruimte digitaal zaken kunnen doen met overheden en zouden zij meer regie op hun eigen gegevens moeten krijgen.

Daarnaast voorziet de verordening in het harmoniseren van regelgeving en standaarden op het gebied van IT en authenticatie. Europese inwoners zouden hierdoor met hun eigen erkende inlogmiddel in ieder land moeten kunnen inloggen bij overheden. Zo zou je met je DigiD overal in Europa bij overheden moeten kunnen inloggen. 

 Om te begrijpen waar we nu staan en waar deze ontwikkeling toe kan leiden, is het essentieel om te begrijpen waar deze ontwikkeling vandaan komt. Een korte blik op het verleden kan ons helpen om het heden beter te begrijpen.  

Authenticatie, digitaal 

Waar authenticatie (ben jij wie je zegt dat je bent?) ooit uitsluitend fysiek plaatsvond, gebeurt dat sinds de jaren 2000 in toenemende mate digitaal. De eerste contouren van digitale dienstverlening bij overheden kregen toen vorm en daarmee ontstond de noodzaak om authenticatie eveneens digitaal plaats te laten vinden. In 2003 werd de Nieuwe Authenticatie Voorziening (NAV) gelanceerd, wat niet veel later omgedoopt zou worden naar DigiD. 

Met de steeds verder toenemende digitalisering bij de overheid werd ook de rol van een middel als DigiD belangrijker. In 2008 werd het door het kabinet Balkenende IV verplicht gesteld bij het digitaal toegankelijk maken van persoonlijke gegevens. Op dat moment beschikte grofweg de helft van de Nederlanders over DigiD. Intussen is dat overigens bijna 95% (ouders van kinderen jonger dan 14 jaar kunnen voor het kind een DigiD aanvragen).  

Die digitalisering maakt ook dat aspecten als informatiebeveiliging, privacy en de toegankelijkheid van overheidsdiensten een cruciale rol zijn gaan spelen. De hack bij DigiNotar in 2011 gaf een belangrijke impuls aan het beter regelen van de beveiliging en met de komst van de AVG in 2018 is er gelukkig ook meer aandacht voor transparantie en regie op je eigen gegevens. Het is een ontwikkeling die nooit stilstaat en eIDAS 2.0 geeft hopelijk de impuls om ook authenticatiemiddelen weerbaar te maken voor de uitdagingen en ontwikkelingen van deze tijd. 

Over grenzen: één Europa 

Het (verder) harmoniseren van regelgevingen op het gebied van IT en authenticatie past daarnaast in een bredere ontwikkeling van Europese integratie. Met het organiseren van een Europese interne markt zijn al een hoop grenzen weggenomen. Vrij verkeer van personen, goederen en diensten is voor veel Europeanen al decennia vanzelfsprekend. Waarom zouden we voor digitale dienstverlening dan nog wel die grenzen hanteren?  

Om van digitalisering bij de overheid een duurzaam succes te maken is het dan ook voor de hand liggend dat die digitale grenzen eveneens weggenomen worden. eIDAS 2.0 is een belangrijke stap om deze grenzen te doorbreken en daar op een eenduidige manier invulling aan te geven. Dat is uiteraard gemakkelijker gezegd dan gedaan, maar net zoals de Europese integratie zelf – die duurt immers al bijna 70 jaar – gaat dat ook stapje voor stapje.  

Met de komst van deze verordening en ook de ontwikkelingen rondom de Wet digitale overheid is er in elk geval een duidelijke basis voor de vertaling naar de praktijk van overheden in Nederland. Werk aan de winkel de komende jaren! 

Meer weten?

Voor meer informatie over hoe wij uw organisatie kunnen helpen, kunt u contact opnemen met  Wouter Le Febre,  06 55 29 77 09 of w.l.febre@telengy.nl.

5 jaar AVG: al doende voldoen

Lees het gehele artikel

Op 25 mei 2018 werd de Algemene Verordening Gegevensbescherming van kracht. In aanloop naar die datum deden overheden en andere organisaties hun best om tijdig te voldoen. Nu, vijf jaar na deze datum, weten we dat het voldoen aan de AVG geen kwestie van een checklistje is, maar dat het een continu proces is dat nooit af is. Voldoen aan de AVG is geen doel op zich, maar een middel dat helpt om zorgvuldig met persoonsgegevens om te gaan. Het toepassen van de principes en uitgangspunten van de AVG en daarbij laten zien wat je doet en welke afwegingen daaraan ten grondslag liggen, zijn daarbij essentieel.

Geen checklist

Rondom de inwerkingtreding van de AVG is er veel aandacht uitgegaan naar het inrichten van een aantal basiszaken die vereist zijn, waaronder:

  • het aanwijzen en positioneren van een functionaris gegevensbescherming;
  • een verwerkingsregister opstellen;
  • verwerkersovereenkomsten afsluiten;
  • de nodige awareness trainingen in de organisaties.

Belangrijke zaken, omdat deze elementen de basis vormen om op een juiste en effectieve manier invulling te geven aan de AVG. Toch blijkt in de praktijk dat veel organisaties deze basis nog niet (voldoende) op orde hebben.

Nieuwe technologie

Tegelijkertijd staan overheidsorganisaties te popelen om aan de slag te gaan met nieuwe technologische ontwikkelingen, bijvoorbeeld op het gebied van kunstmatige intelligentie, datagedreven werken en algoritmen. Deze brengen bovendien ook nieuwe uitdagingen met zich mee als het gaat om de AVG en gegevensbescherming en deze komen boven op de eerder genoemde uitdagingen. Wat doe je in die context op het gebied van profilering, dataminimalisatie en doelbinding? Bij al deze antwoorden speelt transparantie bovendien een essentiële rol, om zowel organisaties als burgers mee te nemen in wat er met persoonsgegevens gebeurt.

Dialoog

Als we de basis nog niet op orde hebben, hoe verwachten we dan grip te kunnen krijgen en houden op technologie waarvan we de mogelijkheden nu nog niet eens kunnen overzien? Het begint in elk geval met de dialoog over de technologie en de implicaties ervan. Vanuit ethisch perspectief zijn er inmiddels mooie instrumenten ontwikkeld om deze dialoog op een gestructureerde manier te kunnen voeren. Denk hierbij aan instrumenten als DEDA, IAMA en de Aanpak Begeleidingsethiek. Deze helpen om stapsgewijs en expliciet rekening te houden met de verschillende belangen en de afwegingen die komen kijken bij het toepassen van technologie in context. Daarbij blijven ook DPIA’s een buitengewoon waardevol instrument om specifieke gegevensverwerkingen onder de loep te nemen en risico’s in beeld te brengen.

Voor zowel technologie als gegevensbescherming geldt dat het geen kwestie van kunnen, maar een kwestie van willen moet zijn. Wat willen wij als maatschappij? Wat wil de overheid? Wat wil de burger? En hoe kunnen we al die belangen en verlangens op een zorgvuldige en gebalanceerde manier met elkaar verenigen? Ik hoop dat de komende 5 jaar van de AVG in het teken staan van het voeren van de juiste dialoog, waarin we met elkaar op zoek gaan naar wat we willen, duidelijke afspraken maken over wat we doen (en waarom) en daar transparant over zijn.

Meer weten?

Voor meer informatie over hoe wij uw organisatie kunnen helpen, kunt u contact opnemen met  Wouter Le Febre,  06 55 29 77 09 of w.l.febre@telengy.nl.

 

 

Het algoritmeregister wordt opgezet in 2023, maar wat kunnen we nu al doen?

Lees het gehele artikel

Wacht niet langer, we zijn al laat!

Steeds meer beslissingen bij gemeenten worden genomen op basis van data en slimme algoritmen. Ook deze vorm van datagedreven werken draait om de waarde die het toevoegt. Tegelijkertijd worden processen en besluitvorming hiermee abstracter en is het essentieel om daar grip op te houden en transparant te zijn over hoe je als gemeente te werk gaat. Hiervoor is controle en inzicht nodig. Niet alleen intern, maar ook voor de burger en de maatschappij in het algemeen.

Controle en inzicht beginnen bij laten zien wat je doet. Het Algoritmeregister van de Nederlandse overheid kan hier een belangrijke schakel in worden. In 2023 start de Nederlandse overheid met het algoritmeregister en het werken aan een implementatiekader ‘ínzet van algoritmen’. De privacy toezichthouder Autoriteitspersoonsgegevens gaat over het register waken. Er is inmiddels 1 miljoen euro gereserveerd in 2023, oplopend tot 3,6 miljoen in 2026.

De bovenstaande acties zijn een grote stap voorwaarts, toch is dit register slechts een middel om op een overzichtelijke manier inzicht te verschaffen naar de spreekwoordelijke buitenwereld. Intern begint het met bewust bezig zijn met algoritmen, hier met elkaar het gesprek over voeren en zorgvuldig te werken gaan. Gemeenten doen er daarom goed aan om niet langer te wachten en direct aan de slag te gaan.

Wij adviseren om de volgende acties te ondernemen:

  1. Inventariseer welke algoritmen er gebruikt worden in de organisatie. Leg dit systematisch vast en gebruik bij voorkeur de kenmerken van het landelijke algoritmeregister.
  2. Start met het creëren van bewustzijn bij medewerkers over de risico’s en kansen bij het gebruik van datagedreven besluitvormingen. Tegenwoordig zijn er veel instrumenten en bijeenkomsten waar organisatie kunnen aansluiten, o.a.: een data-awareness dag, datagame en bijvoorbeeld data-vaardigheid assesment.
  3. De inzet van algoritmen is een gedeelde verantwoordelijkheid waarbij bijvoorbeeld het datateam, een leverancier, de vakspecialisten en de verantwoordelijk manager bij betrokken zijn. Kies daarom een gezamenlijk proces of methodiek om vooraf ethische vraagstukken van nieuwe algoritmes te bediscussiëren, iedereen moet er over kunnen meepraten.

Op deze wijze voorkomt de organisatie per direct een groot deel van de potentiële problemen bij het gebruik van algoritmen en houdt de organisatie grip. Mocht in 2023 het implementatiekader gereed zijn, dan is het leeuwendeel bovendien al gedaan. Het register zou het sluitstuk moeten zijn van een gezonde datapraktijk/datahuishouding/datagedreven werken.

Meer informatie

Mocht u meer willen weten over het register, algoritmen of datagedreven besluitvorming, neem dan vooral contact op met Wouter Le Febre,  06 55 29 77 09 of w.l.febre@telengy.nl of met Roel Ottens via telefoonnummer: 06 50 43 15 77 of via e-mail: r.ottens@telengy.nl.

Bronnen

 

Ik adviseer alleen maar…

Lees het gehele artikel

Het is een kreet die ik bij verschillende opdrachtgevers al jaren om mij heen hoor. Op zichzelf niet raar als je adviseur van beroep bent, maar de kreet ‘ik adviseer alleen maar’ kom ik vooral tegen binnen de context van informatiemanagement. Om grip te krijgen op veranderingen binnen de informatievoorziening hebben organisaties ten eerste verschillende rollen en processen bedacht om die veranderingen in goede banen te leiden en te zorgen dat er overal op tijd aan gedacht wordt. Ten tweede zijn er vaak allerhande principes en uitgangspunten geformuleerd waar die informatievoorziening dan aan moet voldoen.

Als er een wens of noodzaak is om iets in de informatievoorziening te veranderen, zijn er zodoende verschillende rollen die onderweg meedenken en adviseren over hoe de gewenste oplossing eruit moet zien. Denk hierbij o.a. aan de security officer, de privacy officer, architecten en inkoopadviseurs. De informatieadviseur heeft hierin vaak een coördinerende rol en adviseert de opdrachtgever over het vervolgtraject.

Eigenaarschap

Binnen dit proces gaat het vaak over eigenaarschap. Wie wil er veranderen? Wie bepaalt voor welke oplossing er gekozen wordt? Het antwoord daarop is dan meestal: de ‘business’. Het concept van eigenaarschap is essentieel in een tijd waarin dienstverlening en informatievoorziening steeds nauwer verweven raken en onlosmakelijk met elkaar verbonden zijn.

Op basis van een degelijk advies moet je deze vanuit informatiemanagement in staat stellen om de juiste keuzes te maken als het gaat om digitalisering en veranderingen in de informatievoorziening. En daar wringt de schoen nog wel eens. Onder het mom van eigenaarschap worden zaken richting de business geschoven, waar ze in de praktijk lang niet altijd mee uit de voeten kunnen. “Ze moeten maar aangeven wat ze willen, dan kunnen wij daarover adviseren”, heb ik in de afgelopen vijf jaar meer dan eens gehoord bij opdrachtgevers.

Dat is van de business

Programma van Eisen? De business moet aangeven wat ze willen. Verwerkersovereenkomst? Het zijn de gegevens van de business, laat die hem maar invullen. BIO-maatregelen en risiciomanagement? Pakkie-an van de lijnmanager. Klopt allemaal als een bus, maar dat betekent niet dat met het aanwijzen van die verantwoordelijkheid de zaak geregeld is. In de praktijk is de business bezig met haar primaire proces en niet met het opstellen van verwerkersovereenkomsten, programma’s van eisen of de invulling van BIO-maatregelen.

Zouden ze daartoe in staat moeten zijn? In de ideale wereld misschien. In de praktijk doe je er goed aan om deze eigenaren te begeleiden in het proces, de juiste kennis en handvatten te bieden om de business een zorgvuldige afweging en keuze te laten maken. Dat betekent niet dat je het stokje en de verantwoordelijkheid overneemt, maar wel dat je als adviseur aan tafel gaat zitten en helpt om de weg te wijzen. Ik adviseer alleen maar!

Meer weten?

Voor meer informatie over hoe wij uw organisatie kunnen helpen, kunt u contact opnemen met  Wouter Le Febre,  06 55 29 77 09 of w.l.febre@telengy.nl.

To the point: informatiebeveiliging en privacy in Borsele

Lees het gehele artikel

In de periode 2017 tot en met 2021 heeft Telengy de gemeente Borsele ondersteund op het gebied van informatiebeveiliging en privacy. In een periode waarin voor de gemeente veel is veranderd, hebben we hopelijk veel waardevols mogen brengen, maar nemen we ook waardevolle inzichten mee. Over dit traject, waar ik van 2018 tot en met 2021 grotendeels bij betrokken ben geweest, valt veel te schrijven en ik deel in dit artikel enkele inzichten die breder toepasbaar zijn.

Het traject

Telengy is in november 2017 gestart met het traject met als primair doel om informatiebeveiliging en privacy structureel in te bedden in de organisatie, met daarbij de invulling van lopende zaken en taken op dit gebied. Dit vertaalde zich feitelijk naar drie sporen:

  1. Kwartiermaken voor de organisatie van informatiebeveiliging en privacy.
  2. Bewustwordingscampagne binnen de gehele organisatie.
  3. Ondersteuning en ontzorging bij de taken en verantwoordelijkheden bij informatiebeveiliging en privacy.

Kort gezegd hebben we de organisatie op alle lagen ondersteund, van governance en beleid tot ENSIA en van afhandeling datalek tot regionale samenwerking. Hierdoor kwamen we ook met alle lagen van de organisatie in gesprek en ontstond er een duidelijk beeld van wat er speelde binnen de organisatie. Deze aanpak heeft ervoor gezorgd dat we binnen de organisatie de basis op orde hebben kunnen krijgen en de organisatie met een eigen, structurele invulling verder kan.

Door de jaren heen zijn mijn collega’s Arno van Waesberghe, Roel Ottens en Tim van der Pol ook betrokken geweest bij dit traject. Waar nodig en in goed overleg konden we op deze manier een volwaardig en flexibel traject bieden, waarin we op de juiste momenten de juiste expertise konden inbrengen.

Ken je publiek

Om privacy en informatiebeveiliging succesvol te borgen in de organisatie, is het essentieel dat men in de hele organisatie doordrongen is van het belang en ook de handvatten heeft om het in de dagelijkse praktijk toe te passen. Dit betekent dat je in de communicatie over informatiebeveiliging en privacy zoveel mogelijk aansluit bij de beleefwereld van je gesprekspartner. Zoek het juiste detailniveau en ontdek wat de ander belangrijk vindt. Pas je verhaal daarop aan.

Een sessie over privacy kan er bij de buitendienst heel anders uitzien dan in het sociaal domein en dat is alleen maar goed. Waar privacy in het sociaal domein een haast vanzelfsprekend element is dat dagelijks aan bod komt, is dat bij de buitendienst veel minder het geval. Toch werken ook zij met bijvoorbeeld smartphones en hebben ze contact met de inwoners. In plaats van uitleggen wat de AVG exact inhoudt, startte ik hier het gesprek met de vraag: wat betekent privacy voor jou persoonlijk? De persoonlijke ideeën en opvattingen werden al snel (en niet door mij!) gerelateerd aan het werk, waardoor ik medewerkers goed kon helpen met de zaken waar zij tegenaan liepen.

Op dat moment is privacy niet langer iets vervelends, een beeld dat nog al te vaak bestaat, maar worden het serieuze en interessante overwegingen in je eigen dagelijkse werkzaamheden. Ook richting het bestuur is het belangrijk om je publiek te kennen. Informatiebeveiliging en privacy zijn (nog) niet altijd de meeste populaire onderwerpen voor bestuurders. Neem ze mee in het intrinsieke belang van informatiebeveiliging en privacy en stip vooral dat aan wat voor hen relevant is en daarnaast waar ze invloed op hebben. Op die manier voed je ze niet alleen met informatie, maar zit je als partner aan tafel.

Werk samen waar het kan

Zorgvuldig omgaan met informatie krijg je als adviseur, CISO of FG nooit alleen voor elkaar. De gemeente Borsele neemt deel aan gemeenschappelijke regeling De Bevelanden, samen met de gemeenten Goes, Kapelle, Noord-Beveland en Reimerswaal. De GR faciliteert de gemeenten onder meer op het gebied van ICT en HR. In dit verband wordt veel samengewerkt als het gaat om de implementatie van de BIO. Vanuit de gemeente Borsele was ik nauw betrokken bij deze samenwerking.

Het gezamenlijk optrekken betekent dat niet iedere organisatie zelf het wiel hoeft uit te vinden en bovendien stimuleert het kennisuitwisseling. Door samen vraagstukken op te pakken, leer je ook hoe het er bij andere gemeenten aan toe gaat en vind je sparringpartners voor de rol die je invult. Daarnaast geeft het organisaties met een beperkte capaciteit de mogelijkheid om toch relatief veel voor elkaar te krijgen.

Laagdrempelig en to the point

De manier waarop Telengy samen met de gemeente Borsele dit traject heeft opgepakt sluit goed aan bij wat we bij Telengy belangrijk vinden in het werk: als betrokken partner een organisatie helpen veranderen met een realistische en pragmatische aanpak. Gedreven door de inhoud, met aandacht voor de mens, overal in de organisatie.

Meer weten?

Voor meer informatie over hoe wij uw organisatie kunnen helpen, kunt u contact opnemen met  Wouter Le Febre,  06 55 29 77 09 of w.l.febre@telengy.nl.

 

 

 

Privacy in het sociaal domein: zorgvuldig samenwerken

Lees het gehele artikel

Het is inmiddels al drie jaar geleden dat de Algemene Verordening Gegevensbescherming in werking is getreden. Privacy van inwoners is in toenemende mate een belangrijk onderdeel geworden in de manier waarop lokale overheden hun taken uitvoeren. De afgelopen jaren hebben de eerste boetes opgelegd door de Autoriteit Persoonsgegevens laten zien dat het niet altijd goed gaat. We hebben echter vooral gezien dat gegevensbescherming een constante uitdaging is voor organisaties. Veranderende organisaties in een veranderende wereld maken dat we ons constant aan moeten passen om zorgvuldig met gegevens om te gaan.

Met name in het sociaal domein zijn er saillante uitdagingen als het gaat om privacy. In dit domein ligt voor veel gemeenten een duidelijk zwaartepunt als het gaat om gevoelige persoonsgegevens van soms kwetsbare inwoners. Bovendien is dit bij uitstek een domein waar veel samengewerkt wordt met ketenpartners. De uitdaging zit hem op het gebied van privacy niet alleen in de verwerking van persoonsgegevens door de organisatie zelf, maar ook in de manier waarop je die samenwerking vormgeeft.

Multidisciplinair

Dit komt heel duidelijk naar voren wanneer de toegang tot het sociaal domein georganiseerd is in de vorm van multidisciplinaire wijkteams. Hierin zitten niet alleen medewerkers van de gemeente zelf, maar ook medewerkers van ketenpartners die voorzieningen bieden. Denk hierbij aan de maatschappelijkwerker, jongerenwerker of ouderenadviseur die vanuit een welzijnsorganisatie lid is van een wijkteam. Hoe ga je daarmee om als verwerkingsverantwoordelijke?

Privacy-afspraken?

Deze uitdaging is tweeledig. Ten eerste is het essentieel dat er goede afspraken gemaakt worden met de moederorganisaties van de betreffende medewerkers over privacy. Er wordt vaak samengewerkt op basis van een subsidierelatie, waarbij er afspraken zijn over de taken en financiën, maar niet altijd over hoe de verhoudingen en verantwoordelijkheden georganiseerd zijn op het gebied van privacy. Hierdoor is het niet altijd duidelijk welke verwerkingen rechtmatig zijn en wie er verantwoordelijk is in het geval van een datalek.

Strikt noodzakelijke toegang

Ten tweede moeten deze medewerkers toegang krijgen tot de benodigde systemen om informatie op te halen en te registreren. Medewerkers van ketenpartners beschikken vaak over een eigen applicatie van hun moederorganisatie. Hoe geef je hen toegang tot gemeentelijke systemen als dat nodig is? En hoe beperk je hun toegang tot het strikt noodzakelijke? Als er geen duidelijke afspraken zijn tussen de organisaties is dit extra lastig. Hierbij moet bovendien rekening gehouden worden met andere kaders die binnen de gemeente gelden, bijvoorbeeld op het gebied van informatiebeveiliging. Als tweefactor authenticatie bijvoorbeeld een uitgangspunt is, dan moet je dit ook voor externe gebruikers faciliteren.

Zorgvuldig omgaan met persoonsgegevens in samenwerkingsverband begint met goede afspraken aan de voorkant en op basis daarvan werk je samen uit wat werkt. Vanuit Telengy denken wij graag mee over hoe organisaties praktisch en uitvoerbaar met privacy om kunnen gaan, juist in het sociaal domein, zie ook deze folder.

Meer weten?

Voor meer informatie over hoe wij uw organisatie kunnen helpen, kunt u contact opnemen met  Wouter Le Febre,  06 55 29 77 09 of w.l.febre@telengy.nl.

 

Kijken naar wat wel kan onder de AVG!

Lees het gehele artikel

Inmiddels is de Algemene Verordening Gegevensbescherming (AVG) al ruim twee jaar van kracht en zijn organisaties zo’n vier jaar bezig om gegevensbescherming in hun organisatie te organiseren. Uit recent onderzoek van onderzoeksprogramma Argos blijkt dat gemeenten nog steeds worstelen met de uitvoering van de AVG en het nemen van gepaste maatregelen.

Misleidende beeldvorming

Privacy wordt nog vaak als een probleem of beperkende factor gezien, terwijl tegelijkertijd blijkt dat kennis over de AVG binnen gemeenten in voorkomende gevallen niet toereikend is. Dat kan leiden tot misleidende beeldvorming over wat er wel of niet binnen de wet mogelijk is en wat het maatschappelijk belang van gegevensbescherming is. Zo stelden twee burgemeesters vorige maand dat de ‘doorgeslagen privacywet’ extra doden heeft gekost tijdens de coronacrisis, omdat cruciale informatie niet gedeeld zou mogen worden. De Autoriteit Persoonsgegevens reageerde dat er vanuit de wet geen belemmeringen zijn om dergelijke cruciale informatie (van vitaal belang, in termen van de AVG) te delen.

De wet biedt kaders om per gegevensverwerking te bepalen welke persoonsgegevens er verwerkt mogen worden. Voor de gemeente verloopt dat voornamelijk langs de lijnen van haar wettelijke en publiekrechtelijke taken. Voor veel gemeenten is dat al een uitdaging op zich. Daarnaast bestaan er binnen gemeenten, maar ook met ketenpartners, behoeften om gegevens met elkaar te delen. Bijvoorbeeld in het kader van integraal werken in het sociaal domein, maar ook bij vroegsignalering bij schuldenproblematiek of het bestrijden van ondermijning. Het lastige daarbij is dat dergelijke gegevensuitwisseling tussen verschillende disciplines (of wettelijke taakgebieden) niet of nauwelijks beschreven staat in de betreffende wetten. Daar komt langzaam beweging in, bijvoorbeeld met de wijziging in de Wet Gemeentelijke Schuldhulpverlening in 2021 waarmee de uitwisseling van persoonsgegevens beter gefaciliteerd wordt, maar het is zeker niet gezegd dat dit voor alle wettelijke taken zal gebeuren.

Onderbouwen en afwegen

Om het uitwisselen van gegevens op een passende en afgewogen manier te faciliteren is het essentieel om toch een wettelijke basis te vinden voor die uitwisseling. Dat kan bijvoorbeeld in de vorm van een privacyprotocol. In februari dit jaar verscheen het Model Privacyprotocol binnengemeentelijke gegevensdeling. Dat is voor een gemeente een mooie onderbouwde basis om in het kader van ondermijning gegevens uit te kunnen gaan wisselen. Bij gemeenten bestaat echter ook de behoefte om een dergelijk protocol te hebben voor andere domeinen binnen de gemeente. In dat kader ga ik de komende periode met de gemeente Borsele onderzoeken hoe we gegevensdeling binnen de gemeente én met externe partners op een gedegen manier kunnen onderbouwen en vastleggen.

Een van de grootste uitdagingen vanuit de AVG is de verantwoordelijkheid die de wet bij organisaties legt voor het maken van een gedegen afweging op basis van de principes en uitgangspunten die de wet voorschrijft. Dat geeft enerzijds onzekerheid, omdat het wel of niet voldoen aan de wet daardoor niet zwart-wit is en inherent risico’s met zich meebrengt. Anderzijds biedt het juist ook kansen om die ruimte te benutten en te onderzoeken waar gegevensuitwisseling meerwaarde kan bieden voor de dienstverlening, met het belang van de burger voorop uiteraard. Ga aantoonbaar afgewogen te werk en dan kan ‘dat mag niet van de AVG’ vaak genoeg veranderen in ‘dat kan prima onder de AVG’. Hoe heeft uw gemeente gegevensuitwisseling tussen verschillende domeinen geregeld?

Meer weten?

Telengy-adviseur Wouter Le Febre komt graag met u in gesprek via telefoonnummer 06 55 29 77 09 of via e-mail: w.l.febre@telengy.nl.

 

En nu echt BIO

risicomanagement BIO
Lees het gehele artikel

2019 was het overgangsjaar naar de BIO en vanaf 2020 komt het er echt op aan. Is uw organisatie al helemaal klaar voor de BIO of is de transitie nog in volle gang?

BIO wat was het ook alweer?

De BIO kan de organisatie helpen om meer grip te krijgen op informatiebeveiliging en de impact hiervan op de uitvoering van uw werkprocessen. Met de nadruk op risicomanagement en de verantwoordelijkheid van de lijnmanager daarin, ontstaat de gelegenheid en noodzaak om de impact van beveiligingsrisico’s op het primaire proces te behandelen en een passende strategie te kiezen.

risicomanagement BIO

Meer weten?

Telengy-adviseur Wouter Le Febre heeft afgelopen jaren veel ervaring opgedaan met informatieveiligheid, BIG en BIO. In eerdere artikelen deelde hij zijn ervaringen al:

Voor meer informatie kunt u contact opnemen met Wouter Le Febre , adviseur bij Telengy,  via telefoonnummer 06 55 29 77 09 of via e-mail: w.l.febre@telengy.nl.

1 Jaar AVG: waar staan we nu? 

Lees het gehele artikel

Het is inmiddels alweer iets meer dan een jaar geleden dat de Algemene Verordening Gegevensbescherming in werking trad. De nieuwe privacywetgeving moet er vooral voor zorgen dat de privacy van Europese inwoners beter beschermd wordt, maar na een jaar lijkt de wet voornamelijk tot kopzorgen te leiden bij veel organisaties, waaronder gemeenten, op te leveren. Wat heeft een jaar met de AVG ons gebracht? 

Bouwstenen 

Met de komst van de AVG lag de focus voor veel Nederlandse gemeenten op het in kaart brengen van de talloze verwerkingen van persoonsgegevens in het register van verwerkingen en het maken van de juiste afspraken aan de hand van verwerkersovereenkomsten. Inmiddels heeft de Informatiebeveiligingsdienst ook een standaardverwerkersovereenkomst gepubliceerd, waarvan het gebruik voor gemeenten verplicht wordt. Deze onderdelen zijn belangrijke bouwstenen voor een organisatie om meer grip te krijgen op het zorgvuldig werken met persoonsgegevens. 

Dat is een continu proces, dat niet klaar is na een implementatieproject AVG. Het is essentieel om scherp te houden welke (persoons)gegevens je verwerkt, maar ook hoe je die gegevens verwerkt en hoe de gegevensstromen er in de praktijk uitzien. Recent bleek uit onderzoek van RTL dat er bij een jeugdzorginstelling grootschalig persoonsgegevens lekten, omdat er gebruik gemaakt werd van verouderde e-mailadressen. Informatievoorziening verandert voortdurend en daar moet je als privacybewuste organisatie op bedacht zijn. Bovendien kun je je in het bovenstaande geval afvragen of e-mail wel het juiste kanaal is om dergelijke informatie te delen. 

Houd het werkbaar 

De uitdaging is om een goede balans te vinden tussen het zorgvuldig omgaan met persoonsgegevens en het werkbaar houden van je primaire werkprocessen. Wij zien in de praktijk nog maar al te vaak dat men in een kramp lijkt te schieten, gepaard met kreten als ‘dat mag niet van de AVG’ of ‘zo kunnen we niet werken’.  

De uitdaging is om samen te kijken naar hoe het wél kan en daarbij gebruik te maken van de ruimte die de wet biedt. Wees je bewust van de risico’s, benoem die en maak vervolgens de afweging hoe je daar op een zorgvuldige manier mee om kunt gaan. Als je dat als organisatie op een goed onderbouwde manier doet, hoeft de wet absoluut niet zo beknellend te zijn als vaak gedacht (en geroepen) wordt, integendeel. 

Handvatten voor de uitvoering 

Het vinden en behouden van die balans is niet alleen de uitdaging voor Functionarissen Gegevenbescherming en Privacy Officers, maar bij uitstek voor de medewerkers die het primaire proces uitvoeren. Zij hebben de juiste handvatten nodig om scherp te blijven op het omgaan met persoonsgegevens en knelpunten of ontwikkelingen te signaleren. Zorgvuldig omgaan met persoonsgegevens is een continu proces. Dat is nooit af, maar je blijft leren en verbeteren. Dat betekent dat men elkaar scherp moet houden binnen organisaties.  

Enerzijds kan dat uitstekend door middel van bewustwordingscampagnes, maar het kan juist ook heel waardevol zijn om het onderwerp te integreren in werkoverleggen. Op die manier kun je privacy op een heel inhoudelijk niveau bespreken en kun je samen je afwegingen maken en vastleggen, bijvoorbeeld door middel van een besluit. Bovendien helpt het goed om met elkaar in beeld te houden waar men zoal tegenaan loopt. Wanneer je er binnen het overleg niet uitkomt, kun je daarnaast een privacy officer bij het overleg laten aansluiten om te adviseren.  

Op die manier kun je echt een lerende organisatie zijn als het gaat om privacy. Samen onderzoeken en onderbouwen hoe het wel kan. Ga met elkaar het gesprek hierover aan, maak heldere afspraken en je zult zien dat er binnen de AVG eigenlijk best veel kan. 

Meer weten?

Voor meer informatie kunt u contact opnemen met Wouter Le Febre , adviseur bij Telengy,  via telefoonnummer 06 55 29 77 09 of via e-mail: w.l.febre@telengy.nl.