We zijn inmiddels 2 weken verder nadat de nieuwe privacywet, de Algemene Verordening Gegevensbescherming (AVG), van kracht is gegaan. Veel organisaties, waaronder gemeenten, hebben zich de afgelopen maanden met AVG-projecten bezig gehouden om ervoor te zorgen dat zij op 25 mei AVG-proof waren. De vele mails met privacystatements in je mailbox zullen je niet zijn ontgaan. Er is erg naar die streefdatum van 25 mei geleefd. Maar hoe zit het daarna? Kun je eigenlijk wel ‘AVG-proof’ zijn en is het voldoen aan de AVG wel een project, met een kop en een staart?

Privacy is een continu proces

Het antwoord is: nee. Het is niet zo dat we nu met zijn allen achterover kunnen leunen, een AVG-‘project’ is in principe namelijk nooit af. Het voldoen aan de AVG is dan ook geen eenmalig project maar een continu proces dat altijd onderdeel zijn van de bedrijfsvoering. In de praktijk lijkt dit bij veel gemeenten anders gezien te worden. Zo zijn er in aanloop naar 25 mei allerlei programma’s en projecten opgestart om ervoor te zorgen dat de gemeente AVG-proof werd. Veel van deze programma’s en projecten liepen tot 25 mei en zijn daarna afgerond. Ik heb dit zelf ook gezien bij een huidige opdrachtgever waar ik onlangs een AVG programma heb afgerond maar iedereen op het hart heb gedrukt dat dit niet wil zeggen dat ze ‘klaar’ zijn met privacy. Privacy is geen project, en daarom dus ook nooit ‘af’. Veel gemeenten staan zelfs pas aan het begin. Je kunt het ook vergelijken met het behalen van je rijbewijs, je leert pas echt autorijden na het behalen van je papiertje (en alleen door het echt te doen!).

De basis staat

Wat er in de praktijk is gebeurd bij AVG-projecten is dat er veel producten zijn opgesteld, zoals: een register van verwerkingen, een privacybeleid, een privacy statement voor de website, DPIA procedures, datalekken procedures et cetera. Daarnaast is er aandacht besteed aan awareness onder de medewerkers (Wat is een datalek? Hoe wordt ik geacht om te gaan met persoonsgegevens, bij wie kan ik met mijn vragen terecht et cetera) en er is (hopelijk) een privacy organisatie ingericht. Dan ben je er toch, zul je denken. Het tegendeel is waar. Vergelijk het met het bouwen van een huis: de basisconstructie ofwel ‘het karkas’ staat. Maar nu dat eenmaal staat, is het tijd voor de indeling en daarna zal het onderhouden moeten worden. Want wat betekenen de privacy maatregelen vanuit de wetgeving allemaal voor je gemeente, voor het dagelijks werk van je medewerkers? Hoe ga je om met de rechten van betrokkenen? Het werkproces kun je beschreven hebben en de taken belegd, maar hoe verloopt dat in de praktijk? Hoe ga je zorgen dat de stappen die gezet (afgevinkt) zijn, ook echt geborgd worden in de organisatie? Dat je al deze ‘vinkjes’ hebt gezet, wil namelijk nog niet zeggen dat de gemeente gegarandeerd compliant is als het gaat om privacy. Daar komt meer bij kijken..

Privacy organisatie in de praktijk

Om daadwerkelijk compliant te zijn is het niet alleen nodig dat de privacy organisatie is ingericht maar is het ook belangrijk dat de personen in die organisaties hun werk kunnen doen, denk aan de FG en de Privacy Officer. Hoe positioneren zij zichzelf, welke capaciteit is nodig? Wat kan de Privacy Officer van de FG verwachten en vise versa? De Privacy Officer moet de organisatie (operationeel) en de business ondersteunen. De FG moet toezicht houden op welke wijze dit allemaal gebeurt.

En dat is niet alles. De technologische ontwikkelingen gaan snel, zo hebben gemeenten er de laatste jaren ontzettend veel taken en verantwoordelijkheden bijgekregen. Medewerkers en management zijn zich vaak nog onvoldoende bewust van de risico’s die samenhangen met deze nieuwe taken en het werken met deze privacygevoelige gegevens. Ook hier geldt dat geïnvesteerd moet worden in de organisatie, de mensen en techniek. Zij moeten weten op welke wijze zij hun werk moeten uitvoeren in lijn met deze nieuwe wet. Zo moeten er processen privacy-minded worden (her)ingericht (privacy by design), DPIA’s worden uitgevoerd, en moeten de adviezen en maatregelen die daaruit komen worden geïmplementeerd. Dit laatste kan in de praktijk ook anders uitpakken dan in het AVG-project bedacht was. Tot slot blijft de ‘winkel open’ en moet je de dienstverlening leveren die van je wordt verwacht als gemeente. Kortom, er zijn dus nog een hoop stappen te zetten.

Aan de slag!

Veel gemeenten hebben hun privacybeleid op papier in orde, maar de samenhang op diverse gebieden ontbreekt nog. Dat het nu 25 mei is geweest, betekent dus niet dat je als organisatie ‘klaar’ bent met de AVG. Het is een ‘Plan-Do-Act-check’ cyclus die de komende jaren nog in de haarvaten van het bedrijf moet worden toegepast en geborgd.