Gemeenten komen vaak pas in actie ná privacy-incidenten, concludeert de Tilburgse rechtenstudent Jeroen van Dijk in zijn afstudeeronderzoek onder 187 gemeenten. Gemeenten hebben zich volgens Van Dijk maar matig voorbereid op de inwerkingtreding van de Algemene verordening gegevensbescherming (Avg). De achterstand op het gebied van verantwoording kan onder meer worden ingehaald door gemeentebreed met PDCA-cycli te gaan werken.
Beheersen verantwoordingsplicht Avg
Van Dijk behandelt in zijn onderzoek de verplichtingen van gemeenten onder de Avg, de stand van zaken op het gebied van naleving, en de beheersing van de verantwoordingsplicht door gemeenten. Hoofdvraag is wat de randvoorwaarden zijn voor een beheersing van de verantwoordingsplicht conform de Avg. Daarvoor enquêteerde Van Dijk 187 gemeenten van afwisselende omvang en nam hij zes interviews af.
Naleving langzaam op gang
Naar aanleiding van die enquêtes en interviews komt Van Dijk tot de constatering dat gemeenten, een jaar na de inwerkingtreding van de Avg, ‘langzaam op gang’ komen met de naleving. Hoewel de meeste gemeenten voldoen aan hun plichten onder de Avg en dat ook aantoonbaar kunnen verantwoorden, is er volgens Van Dijk onder meer nog vooruitgang te boeken. Bijvoorbeeld op het vlak van verwerkingsovereenkomsten: slechts één procent van alle geënquêteerde gemeenten geeft aan een overeenkomst te hebben met alle relevante verwerkers van persoonsgegevens. Gemeenten geven aan dat zij met zóveel verwerkingsprocessen te maken hebben, dat het erg lastig is om met elke verwerker een overeenkomst te sluiten.
Fg’s lopen achter feiten aan
Ook vinden gemeenten het, mede omdat er nog jurisprudentie ontbreekt, lastig in interne processen invulling te geven aan de open normen in de Avg. Zo weten gemeenten bijvoorbeeld niet goed hoe gedetailleerd zij op informatieverzoeken van burgers moeten ingaan. Fg‘s (functionaris gegevensbescherming) treden volgens Van Dijk vooral op na incidenten en lopen vaak achter de feiten aan. Om hen een meer proactieve rol te geven, moeten de fg’s vaker deelgenoot worden gemaakt van gegevensverwerkingsprocessen, bepleit Van Dijk. Hoewel gemeenten en masse inzetten op bewustwording bij het personeel, gebeurt dat nog niet altijd gemeentebreed, terwijl dit volgens Van Dijk wel essentieel is.
PDCA-cycli
Van Dijk beveelt aan dat gemeenten ter verbetering van de naleving met PDCA-cycli gaan werken (Plan, Do, Check, Act). Ook moet er verder gewerkt worden aan de kennis en het verantwoordelijkheidsgevoel van personeel. Invulling geven aan de open normen wordt naar verwachting eenvoudiger als er komende jaren jurisprudentie ontstaat. Wel zal daardoor minder ruimte zijn voor het invullen van die open normen, schrijft Van Dijk.
‘Draag privacybeleid uit voor juiste houding’
Als randvoorwaarden voor de beheersing van de verantwoordingsplicht identificeert Van Dijk er uiteindelijk drie: een juiste houding, een gemeentebrede aanpak, en een heldere invulling van de verantwoordingsplicht. Voor een juiste houding onder medewerkers is het volgens Van Dijk onvoldoende om een paar presentaties te geven of instructies op het intranet te zetten. Interactieve middelen zoals e-learningmodules zijn volgens hem effectiever. Kennis en bewustzijn van de Avg en een bijbehorend verantwoordelijkheidsgevoel moeten volgens Van Dijk nog groeien in de onderlagen van gemeentelijke organisaties. Hij roept bestuurders op om het privacybeleid meer uit te dragen.
Fg midden in organisatie
Voor een gemeentebrede aanpak is het van belang dat de fg niet naast de organisatie staat of erboven hangt, maar er middenin staat en ondersteund wordt door bijvoorbeeld de ciso (chief information security officer) en de po (privacy officer). Zij moeten in de hele organisatie bekend zijn, en benaderbaar. Door per afdeling een accenthouder aan te stellen die contact met de fg onderhoudt, kunnen fg’s over de breedte van de organisatie toezicht houden. Afdelingen communicatie kunnen helpen de boodschap van de fg door de gehele organisatie te verspreiden.
Keuzes uitleggen
Om goed invulling te geven aan de verantwoordingsplicht is het volgens belangrijk dat gemeenten hun keuzes en interpretaties van de Avg goed kunnen uitleggen. Het kunnen uitleggen van die keuzes is volgens Van Dijk cruciaal voor het voldoen aan de verantwoordingsplicht.Ook moeten de functies van de fg, de ciso en de po goed zijn ingebed in de organisatie. Uitwerkingen van DPIA’s (Data Protection Impact Assessments) worden vaak door gemeenten gebruikt om specifieke verwerkingsprocessen te verantwoorden.
Bron: BinnenlandsBestuur digitaal