Waarom een AVG – ‘project’ geen project is


We zijn inmiddels 2 weken verder nadat de nieuwe privacywet, de Algemene Verordening Gegevensbescherming (AVG), van kracht is gegaan. Veel organisaties, waaronder gemeenten, hebben zich de afgelopen maanden met AVG-projecten bezig gehouden om ervoor te zorgen dat zij op 25 mei AVG-proof waren. De vele mails met privacystatements in je mailbox zullen je niet zijn ontgaan. Er is erg naar die streefdatum van 25 mei geleefd. Maar hoe zit het daarna? Kun je eigenlijk wel ‘AVG-proof’ zijn en is het voldoen aan de AVG wel een project, met een kop en een staart?

Privacy is een continu proces

Het antwoord is: nee. Het is niet zo dat we nu met zijn allen achterover kunnen leunen, een AVG-‘project’ is in principe namelijk nooit af. Het voldoen aan de AVG is dan ook geen eenmalig project maar een continu proces dat altijd onderdeel zijn van de bedrijfsvoering. In de praktijk lijkt dit bij veel gemeenten anders gezien te worden. Zo zijn er in aanloop naar 25 mei allerlei programma’s en projecten opgestart om ervoor te zorgen dat de gemeente AVG-proof werd. Veel van deze programma’s en projecten liepen tot 25 mei en zijn daarna afgerond. Ik heb dit zelf ook gezien bij een huidige opdrachtgever waar ik onlangs een AVG programma heb afgerond maar iedereen op het hart heb gedrukt dat dit niet wil zeggen dat ze ‘klaar’ zijn met privacy. Privacy is geen project, en daarom dus ook nooit ‘af’. Veel gemeenten staan zelfs pas aan het begin. Je kunt het ook vergelijken met het behalen van je rijbewijs, je leert pas echt autorijden na het behalen van je papiertje (en alleen door het echt te doen!).

De basis staat

Wat er in de praktijk is gebeurd bij AVG-projecten is dat er veel producten zijn opgesteld, zoals: een register van verwerkingen, een privacybeleid, een privacy statement voor de website, DPIA procedures, datalekken procedures et cetera. Daarnaast is er aandacht besteed aan awareness onder de medewerkers (Wat is een datalek? Hoe wordt ik geacht om te gaan met persoonsgegevens, bij wie kan ik met mijn vragen terecht et cetera) en er is (hopelijk) een privacy organisatie ingericht. Dan ben je er toch, zul je denken. Het tegendeel is waar. Vergelijk het met het bouwen van een huis: de basisconstructie ofwel ‘het karkas’ staat. Maar nu dat eenmaal staat, is het tijd voor de indeling en daarna zal het onderhouden moeten worden. Want wat betekenen de privacy maatregelen vanuit de wetgeving allemaal voor je gemeente, voor het dagelijks werk van je medewerkers? Hoe ga je om met de rechten van betrokkenen? Het werkproces kun je beschreven hebben en de taken belegd, maar hoe verloopt dat in de praktijk? Hoe ga je zorgen dat de stappen die gezet (afgevinkt) zijn, ook echt geborgd worden in de organisatie? Dat je al deze ‘vinkjes’ hebt gezet, wil namelijk nog niet zeggen dat de gemeente gegarandeerd compliant is als het gaat om privacy. Daar komt meer bij kijken..

Privacy organisatie in de praktijk

Om daadwerkelijk compliant te zijn is het niet alleen nodig dat de privacy organisatie is ingericht maar is het ook belangrijk dat de personen in die organisaties hun werk kunnen doen, denk aan de FG en de Privacy Officer. Hoe positioneren zij zichzelf, welke capaciteit is nodig? Wat kan de Privacy Officer van de FG verwachten en vise versa? De Privacy Officer moet de organisatie (operationeel) en de business ondersteunen. De FG moet toezicht houden op welke wijze dit allemaal gebeurt.

En dat is niet alles. De technologische ontwikkelingen gaan snel, zo hebben gemeenten er de laatste jaren ontzettend veel taken en verantwoordelijkheden bijgekregen. Medewerkers en management zijn zich vaak nog onvoldoende bewust van de risico’s die samenhangen met deze nieuwe taken en het werken met deze privacygevoelige gegevens. Ook hier geldt dat geïnvesteerd moet worden in de organisatie, de mensen en techniek. Zij moeten weten op welke wijze zij hun werk moeten uitvoeren in lijn met deze nieuwe wet. Zo moeten er processen privacy-minded worden (her)ingericht (privacy by design), DPIA’s worden uitgevoerd, en moeten de adviezen en maatregelen die daaruit komen worden geïmplementeerd. Dit laatste kan in de praktijk ook anders uitpakken dan in het AVG-project bedacht was. Tot slot blijft de ‘winkel open’ en moet je de dienstverlening leveren die van je wordt verwacht als gemeente. Kortom, er zijn dus nog een hoop stappen te zetten.

Aan de slag!

Veel gemeenten hebben hun privacybeleid op papier in orde, maar de samenhang op diverse gebieden ontbreekt nog. Dat het nu 25 mei is geweest, betekent dus niet dat je als organisatie ‘klaar’ bent met de AVG. Het is een ‘Plan-Do-Act-check’ cyclus die de komende jaren nog in de haarvaten van het bedrijf moet worden toegepast en geborgd.

Renco Schoemaker

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO’s van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Hoe bescherm ik mij als gemeente tegen ransomware-aanvallen?

Het kan gebeuren dat je als gemeente urenlang (of in het ergste geval dagen) niet kunt werken vanwege ransomware. In deze blog geef ik tips voor preventieve maatregelen die je kan treffen om besmetting te voorkomen. Toch getroffen? Dan vind je hier ook een handig stappenplan om de schade zoveel mogelijk te beperken.

Agenda Digitale Veiligheid 2020-2024: oude wijn in nieuwe zakken?

In februari publiceerde de VNG de Agenda Digitale Veiligheid 2020-2024 voor een veilige (digitale) gemeente. Biedt deze nieuwe agenda daadwerkelijk een nieuw handelingsperspectief? Of is het oude wijn in nieuwe zakken…

Tijdig betrokken worden als FG

In het kader van de dag van de FG een blog speciaal voor de Functionaris Gegevensbescherming. Formeel is meestal wel vastgelegd dat je als FG ‘tijdig en behoorlijk’ betrokken moet worden, maar in de praktijk word je nog weleens vanuit de flanken verrast. Herkenbaar? Lees dan snel verder!

Update: CISO, Privacy Officer en FG; wie doet en mag wat?

Activiteiten op het gebied van informatiebeveiliging en gegevensbescherming binnen gemeenten behoren te worden gecoördineerd door de CISO, de Privacy Officer en de FG. Maar wie is waarvoor verantwoordelijk? En hoe verhouden deze functies zich tot elkaar?

Praktische (privacy)tips voor thuis én op het werk

Hoe zorg je ervoor dat je medewerkers zowel thuis als op locatie veilig werken én veilig zijn? Zonder afbreuk te doen aan het fundamentele recht op privacy? Dat zijn de vragen die ik in deze blog ga behandelen.

Datalek melden: Hoeveel tijd heb je eigenlijk?

Als een datalek is ontstaan bij een verwerker, wanneer start dan de 72-uurstermijn voor het melden bij de toezichthoudende autoriteit? In onze nieuwe blog onderzoeken we twee visies.