Toezicht houden als FG, hoe doe ik dat?

| Erna Havinga | ,

De komst van de Algemene Verordening Gegevensbescherming (AVG) bracht ook de verplichte Functionaris voor de Gegevensbescherming (FG) met zich mee. De FG is de interne toezichthouder en dus verantwoordelijk voor, de naam zegt het al, het toezicht houden op de naleving van de privacywetten en –regels en heeft ook de taak om de organisatie hierop te controleren. Maar hoe doe je dat eigenlijk, toezicht houden?

Takenpakket FG

Als gemeente ben je vanuit de AVG verplicht om een FG aan te stellen. De FG kijkt kritisch naar hoe de gemeente omgaat met persoonsgegevens en rapporteert hierover aan het college en de gemeentesecretaris. De FG heeft verschillende taken, zoals het inventariseren en bijhouden van de gegevensverwerkingen binnen de organisatie, vragen en klachten van mensen binnen én buiten de organisatie afhandelen, ondersteunen bij het ontwikkelen van interne regelingen, adviseren over privacy op maat en input leveren bij het opstellen of aanpassen van gedragscodes. Daarnaast heeft de FG, zoals in artikel 39.1.b van de wet wordt aangegeven, ook de taak opgelegd gekregen om ‘de naleving van de AVG te controleren’. In overweging 97 wordt verder gespecificeerd dat de FG ‘de verwerkingsverantwoordelijke of verwerker [moet bijstaan] bij het toezicht op de interne naleving van deze verordening’. Maar hoe ziet deze toezichthoudende rol eruit? In deze blog gaan we hier verder op in.

Toezicht houden

De rol die de FG heeft met betrekking tot de controle op de naleving van de wet bestaat hoofzakelijk uit drie taken, te weten:

1.Verzamel informatie over de gegevensverwerkingen binnen de organisatie

De AVG verplicht gemeente om al hun verwerkingen van persoonsgegevens bij te houden in een eigen register, een zogeheten verwerkingsregister. In dit register worden zaken vastgelegd zoals: het doel van de verwerkingsactiviteiten, een omschrijving van de categorieën van persoonsgegevens die je verwerkt, de categorieën ontvangers van de persoonsgegevens, de bewaartermijn van de gegevens en de technische en organisatorische maatregelen om de gegevens te beschermen et cetera. Hoe je een verwerkingsregister moet invullen, kun je lezen in onze eerdere blog. Als FG van een gemeente heb je, als het goed is, toegang tot dit verwerkingsregister. Op basis van dit register krijg je als FG een goed beeld van waar de cruciale systemen van de organisatie zich bevinden, bijvoorbeeld binnen welke processen. Het is aan te raden om als FG op basis van dit register een top 10 (of top 5) van processen en/of systemen te definiëren die een hoog risicoprofiel hebben als het gaat om privacy. Wat het risicoprofiel is van een proces of systeem kun je bepalen aan de hand van een Data Protection Impact Analysis, ook wel DPIA’s genoemd. Zijn er binnen jouw gemeente nog geen DPIA’s uitgevoerd op cruciale systemen? Dan is het aan te raden om als FG te verzoeken dat dit alsnog wordt gedaan. Dit om mogelijke privacy-risico’s goed op het netvlies te hebben. Binnenkort zullen wij nog een blog schrijven over het uitvoeren van DPIA’s.

Daarnaast kun je jaarlijks een analyse uitvoeren op het datalekkenregister en hieruit bepaalde conclusies trekken met betrekking tot de risico’s van verwerkingen. Waar hebben zich de meeste datalekken voorgedaan? Wat waren de meest voorkomende soorten datalekken? Welke maatregelen zijn hier vervolgens opgenomen en waaruit blijkt dat deze maatregelen ook effectief zijn? Et cetera.

2. Analyseer en beoordeel of de verwerkingen aan de wet voldoen.

Om te beoordelen of de verwerkingen binnen de organisatie aan de wet voldoen is het mogelijk om de top 10 die je hebt gedefinieerd van processen en/of systemen met een hoog risicoprofiel, steekproefsgewijs te toetsen. Dit kan op twee manieren. Je kunt bijvoorbeeld als FG zelf een controlelijst opstellen op basis van de AVG wetgeving, of je kunt hierbij gebruik maken van een praktisch hulpmiddel, namelijk van bestaande Privacy Control Frameworks (PCF). Een PCF geeft een overzicht van de technische en organisatorische maatregelen die genomen moeten worden en kan op die manier doorlopen worden. Zo krijg je als FG een goed beeld van wat de gemeente al gedaan heeft en wat er nog ingeregeld moet worden om aantoonbaar aan de AVG te voldoen. Uiteraard heb je als FG ook de resultaten van de uitvoerde DPIA’s, die ook goed inzicht kunnen geven in hoeverre bepaalde systemen aan de wet voldoet.

3. Geef informatie, adviezen en aanbevelingen aan de organisatie

De bovenstaande steekproeven geven je als FG een goed beeld van hoe de organisatie ervoor staat als het gaat om het naleven van de privacywetgeving. Op basis hiervan kun je de organisatie vervolgens gericht adviseren over de wijze waarop processen, waar nodig, kunnen worden verbeterd om te voldoen aan de AVG. Dit advies kan bestaan uit aanbevelingen voor nieuwe maatregelen die genomen moeten worden, of mogelijkheden om bestaande maatregelen te verbeteren.

Tot slot, en niet geheel onbelangrijk, is de positie van de FG. De FG heeft namelijk een onafhankelijke positie en is niet persoonlijk aansprakelijk wanneer er binnen zijn organisatie een overtreding van de privacywet is. Het college of de gemeentesecretaris is hierin altijd eindverantwoordelijk.

Heb je naar aanleiding van deze blog vragen of hulp nodig om op dit punt verder te komen binnen jouw gemeente? Neem dan gerust contact met ons op.

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

BIO voor applicatiebeheerders

Om een in-house cursus in te plannen, neem contact met ons op!

Meer blogs lezen

Gemeentelijke privacy: Een blik achter de schermen

De AVG bestaat dit jaar vijf jaar. Sinds 25 mei 2018 moeten alle organisaties, waaronder gemeenten, voldoen aan de verplichtingen uit de AVG bij het verwerken van persoonsgegevens. Maar hoe is het gesteld met de privacy bij gemeenten? Hebben ze de…

Hoe zet je Artificial Intelligence (AI) succesvol in?

Gemeenten maken steeds meer gebruik van AI, omdat dit ontzettend veel kansen biedt. Tegelijkertijd roept het gebruik van AI ook nieuwe vragen op. Je leest er meer over in deze blog

Een DPIA uitgevoerd en dan?

Voor gegevensverwerkingen met een hoog privacyrisico geldt dat je een DPIA moet uitvoeren. Maar wat doe je met de uitkomsten van een DPIA en hoe zorg je ervoor dat een DPIA geen eenmalige actie is maar over een bepaalde tijd herhaald wordt?

Hoe krijg je informatiebeveiliging op de bestuurstafel?

Het ambtelijk bestuur is eindverantwoordelijk voor informatiebeveiliging. Het is dus belangrijk dat zij een goed beeld hebben van de risico’s die informatiebeveiliging met zich mee brengt. Maar hoe krijg je als lijnmanager of CISO informatiebeveil…

Hoe voer je een DPIA uit?

Het uitvoeren van een DPIA is soms niet eenvoudig. In deze blog lees je daarom wat een DPIA precies is, wanneer je een DPIA uitvoert en welke stappen daarbij worden doorlopen.

Klaar voor actie: De rol van workshops in het voorbereiden van calamiteitenteams

Het uitvallen van belangrijke ICT-voorzieningen kan leiden tot een verstoring van de gemeentelijke dienstverlening. Vanuit de BIO is het inrichten van bedrijfscontinuïteit daarom verplicht. Maar wat is bedrijfscontinuïteit precies en hoe zorg je d…