Waarom een AVG – ‘project’ geen project is


We zijn inmiddels 2 weken verder nadat de nieuwe privacywet, de Algemene Verordening Gegevensbescherming (AVG), van kracht is gegaan. Veel organisaties, waaronder gemeenten, hebben zich de afgelopen maanden met AVG-projecten bezig gehouden om ervoor te zorgen dat zij op 25 mei AVG-proof waren. De vele mails met privacystatements in je mailbox zullen je niet zijn ontgaan. Er is erg naar die streefdatum van 25 mei geleefd. Maar hoe zit het daarna? Kun je eigenlijk wel ‘AVG-proof’ zijn en is het voldoen aan de AVG wel een project, met een kop en een staart?

Privacy is een continu proces

Het antwoord is: nee. Het is niet zo dat we nu met zijn allen achterover kunnen leunen, een AVG-‘project’ is in principe namelijk nooit af. Het voldoen aan de AVG is dan ook geen eenmalig project maar een continu proces dat altijd onderdeel zijn van de bedrijfsvoering. In de praktijk lijkt dit bij veel gemeenten anders gezien te worden. Zo zijn er in aanloop naar 25 mei allerlei programma’s en projecten opgestart om ervoor te zorgen dat de gemeente AVG-proof werd. Veel van deze programma’s en projecten liepen tot 25 mei en zijn daarna afgerond. Ik heb dit zelf ook gezien bij een huidige opdrachtgever waar ik onlangs een AVG programma heb afgerond maar iedereen op het hart heb gedrukt dat dit niet wil zeggen dat ze ‘klaar’ zijn met privacy. Privacy is geen project, en daarom dus ook nooit ‘af’. Veel gemeenten staan zelfs pas aan het begin. Je kunt het ook vergelijken met het behalen van je rijbewijs, je leert pas echt autorijden na het behalen van je papiertje (en alleen door het echt te doen!).

De basis staat

Wat er in de praktijk is gebeurd bij AVG-projecten is dat er veel producten zijn opgesteld, zoals: een register van verwerkingen, een privacybeleid, een privacy statement voor de website, DPIA procedures, datalekken procedures et cetera. Daarnaast is er aandacht besteed aan awareness onder de medewerkers (Wat is een datalek? Hoe wordt ik geacht om te gaan met persoonsgegevens, bij wie kan ik met mijn vragen terecht et cetera) en er is (hopelijk) een privacy organisatie ingericht. Dan ben je er toch, zul je denken. Het tegendeel is waar. Vergelijk het met het bouwen van een huis: de basisconstructie ofwel ‘het karkas’ staat. Maar nu dat eenmaal staat, is het tijd voor de indeling en daarna zal het onderhouden moeten worden. Want wat betekenen de privacy maatregelen vanuit de wetgeving allemaal voor je gemeente, voor het dagelijks werk van je medewerkers? Hoe ga je om met de rechten van betrokkenen? Het werkproces kun je beschreven hebben en de taken belegd, maar hoe verloopt dat in de praktijk? Hoe ga je zorgen dat de stappen die gezet (afgevinkt) zijn, ook echt geborgd worden in de organisatie? Dat je al deze ‘vinkjes’ hebt gezet, wil namelijk nog niet zeggen dat de gemeente gegarandeerd compliant is als het gaat om privacy. Daar komt meer bij kijken..

Privacy organisatie in de praktijk

Om daadwerkelijk compliant te zijn is het niet alleen nodig dat de privacy organisatie is ingericht maar is het ook belangrijk dat de personen in die organisaties hun werk kunnen doen, denk aan de FG en de Privacy Officer. Hoe positioneren zij zichzelf, welke capaciteit is nodig? Wat kan de Privacy Officer van de FG verwachten en vise versa? De Privacy Officer moet de organisatie (operationeel) en de business ondersteunen. De FG moet toezicht houden op welke wijze dit allemaal gebeurt.

En dat is niet alles. De technologische ontwikkelingen gaan snel, zo hebben gemeenten er de laatste jaren ontzettend veel taken en verantwoordelijkheden bijgekregen. Medewerkers en management zijn zich vaak nog onvoldoende bewust van de risico’s die samenhangen met deze nieuwe taken en het werken met deze privacygevoelige gegevens. Ook hier geldt dat geïnvesteerd moet worden in de organisatie, de mensen en techniek. Zij moeten weten op welke wijze zij hun werk moeten uitvoeren in lijn met deze nieuwe wet. Zo moeten er processen privacy-minded worden (her)ingericht (privacy by design), DPIA’s worden uitgevoerd, en moeten de adviezen en maatregelen die daaruit komen worden geïmplementeerd. Dit laatste kan in de praktijk ook anders uitpakken dan in het AVG-project bedacht was. Tot slot blijft de ‘winkel open’ en moet je de dienstverlening leveren die van je wordt verwacht als gemeente. Kortom, er zijn dus nog een hoop stappen te zetten.

Aan de slag!

Veel gemeenten hebben hun privacybeleid op papier in orde, maar de samenhang op diverse gebieden ontbreekt nog. Dat het nu 25 mei is geweest, betekent dus niet dat je als organisatie ‘klaar’ bent met de AVG. Het is een ‘Plan-Do-Act-check’ cyclus die de komende jaren nog in de haarvaten van het bedrijf moet worden toegepast en geborgd.

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

BIO voor applicatiebeheerders

Kijk voor meer informatie op onze website

Meer blogs lezen

De AVG versus de Wet politiegegevens (Wpg)

: Naast de AVG hebben politie en justitie te maken met de Wet politiegegevens (Wpg). Maar ook als gemeente heb je te maken met de Wpg, namelijk bij het werk van Buitengewoon opsporingsambtenaren (Boa’s). In deze blog leggen we uit hoe de AVG en Wp…

Implementatie van BCM – voorkomen is beter dan genezen

Om te voorkomen dat je kritische bedrijfsprocessen stilvallen, is het slim om potentiële bedreigingen vroegtijdig in kaart te brengen en een inschatting te maken van het effect van elke bedreiging op deze kritische processen. Dit proces noemen we …

Voldoe je als gemeente aan de AVG?

Veel gemeenten hebben zich de afgelopen jaren met de AVG beziggehouden om ervoor te zorgen dat zij AVG-proof zijn. Met de AVG ben je alleen nooit ‘klaar’. Privacy is namelijk een continu proces. Maar hoe weet je of je als gemeente voldoet aan de AVG?

Behaviour by Design?

Alleen technische beveiligingsmaatregelen nemen om incidenten te voorkomen is nooit genoeg. Uiteindelijk draait het om het gedrag van mensen. Maar hoe zorg je voor bewuste medewerkers? Ofwel, hoe maak je bewustwording tot een succes?

Gezichtsherkenning een inbreuk op de privacy?

Gezichtsherkenning is een methode om de identiteit van personen te ontdekken of te controleren aan de hand van hun gezicht. Privacyorganisaties maken zich zorgen over de opmars van slimme camera’s met gezichtsherkenning. Want hoe zit het met het w…

Wanneer gebruik je BBN2+?

Binnen de BIO wordt gebruik gemaakt van drie basisbeveiligingniveaus, ook wel BBN’s genoemd. Voor de meeste informatiesystemen is BBN2 voldoende. Maar het kan voorkomen dat een gemeentelijk informatiesysteem een hoger beschermingsniveau nodig heef…