Gemeente Amstelveen en Aalsmeer hebben als één van de eerste gemeenten de rollen, taken en verantwoordelijkheden op het gebied van privacy duidelijk vastgelegd in een Privacy governance document. Een interview met Nasim Ahmadi, functionaris gegevensbescherming: ‘De verantwoordelijkheid voor privacy ligt echt bij het management.’
Waar liepen jullie tegenaan?
“Op ambtelijk niveau werken de gemeenten Amstelveen en Aalsmeer samen. Maar er zijn twee gemeenteraden en twee Colleges. Telkens kregen we van bestuurders de vraag: wat is nu het verschil tussen de verschillende rollen en functies? Wat doet een Functionaris Gegevensbescherming (FG), een Chief Information Security Officer (CISO) en een privacybeheerder? We bleven het uitleggen, maar het beklijfde niet. Het is natuurlijk ook ingewikkeld en er is een grijs gebied. Soms was het voor onszelf onduidelijk waar de grens lag.”
Kun je daarvan een voorbeeld geven?
“In hoeverre mag ik als FG bijvoorbeeld adviseren terwijl ik een onafhankelijke rol heb? Er was nog niet goed over nagedacht; er bestond geen document waarin rollen helder waren omschreven. Ook wij waren zoekende in het woud aan wettelijke zaken die er omtrent privacy geregeld moesten worden, zoals de AVG en het instellen van een FG.”
Het Privacy governance document beschrijft de rollen, taken en verantwoordelijkheden ten aanzien van privacy.
“Het document bekrachtigt dat deze rollen bestaan, er is geen discussie meer over nodig. Ook hebben we het document gebruikt om het bestuur en het management ervan bewust te maken dat de verantwoordelijkheid echt bij het hen ligt. Zij moeten zorgen voor een zo goed mogelijke implementatie van de AVG. De FG, CISO en privacybeheerder hebben slechts een adviserende rol. En natuurlijk ondersteunen we het bestuur en het management graag bij de implementatie van de privacywetgeving.”
Kun je de rollen ten aanzien van privacy in elke gemeente op dezelfde manier verdelen?
“In sommige gemeenten worden rollen gecombineerd, daar is een FG ook een CISO of privacybeheerder. Dat is bijna niet te doen. In onze 100.000+ gemeente zijn dat 36-urige taken. Mijns inziens heb je die drie verschillende functies echt nodig. Natuurlijk is het in kleine gemeenten lastiger omdat daar minder budget is. Wellicht kunnen kleine gemeenten het met elkaar oplossen. Je zou met drie gemeenten samen één FG kunnen delen, bijvoorbeeld.”
Wat hebben jullie in de dagelijkse praktijk aan het document?
“Bij twijfel over verantwoordelijkheden of rollen pakken we het document erbij. Verder zie ik het als eerste stap om privacy binnen de organisatie op de kaart te zetten. We hebben de directie en de managers om akkoord gevraagd. Maar we moeten er aandacht aan blijven besteden, anders zakt het weer weg.”
Jullie willen het Privacy governance document delen met andere gemeenten.
“Ik hoop dat dit andere gemeenten stimuleert om ook eigen modellen, sjablonen, werkprocedures (bijvoorbeeld een procedure omtrent het inzagerecht) en best practices te delen. Zo leren we van elkaar en hoeven we niet telkens opnieuw het wiel uit te vinden.”
Het Privacy governance document is te downloaden via de IBD Community.