Voldoe je als gemeente aan de AVG?


We zijn inmiddels bijna vier jaar verder nadat de Algemene Verordening Gegevensbescherming (AVG) van kracht is gegaan. Veel gemeenten hebben zich de afgelopen jaren met de AVG beziggehouden om ervoor te zorgen dat zij AVG-proof zijn. Met de AVG ben je alleen nooit ‘klaar’. Privacy is namelijk een continu proces. Maar hoe weet je of je als gemeente voldoet aan de AVG?

Het voldoen aan de AVG is geen eenmalig project maar een continu proces dat altijd onderdeel is van de bedrijfsvoering. Als gemeente verzamel en gebruik je grote hoeveelheden (gevoelige) persoonsgegevens. Deze gegevens heb je nodig om je taken uit te voeren. Met name binnen het Sociaal Domein worden veel gegevens, waaronder bijzondere gegevens zoals medische en strafrechtelijke gegevens, verwerkt. Denk o.a. aan de taken op het gebied van de Jeugdwet, de Wet maatschappelijke ondersteuning (Wmo 2015) of de Participatiewet. Dit brengt privacyrisico’s met zich mee. Daarbij komt dat burgers verplicht zijn om hun persoonsgegevens aan de gemeente af te staan. Daarom moet iedereen erop kunnen vertrouwen dat zijn of haar gemeente zorgvuldig met gegevens omgaat. Zo mag je als gemeente nooit meer gegevens gebruiken dan noodzakelijk. En mag je de verzamelde persoonsgegevens niet zomaar voor een ander doel gebruiken. Ook moet je de verzamelde persoonsgegevens goed beveiligen. Dit was overigens ook al zo voor de komst van de AVG. Wel hebben organisaties, waaronder gemeenten, met de AVG een aantal nieuwe verplichtingen erbij gekregen die ik in deze blog weer eens op een rij zet, zodat je kunt checken of jouw gemeente voldoet aan de AVG:

Verplichtingen AVG
Sinds de AVG zijn er de volgende nieuwe verplichtingen:

  1. Functionaris Gegevensbescherming (FG)
    De AVG verplicht gemeenten om een Functionaris Gegevensbescherming (FG) aan te stellen als zij verwerker of verwerkingsverantwoordelijke zijn. De FG is de interne toezichthouder en heeft een aantal kerntaken. Welke taken dit zijn lees je in mijn eerdere blog ‘Functionaris Gegevensbescherming versus Privacy Officer – wie doet wat?’.
  2. Data Protection Impact Assessment (DPIA)
    Wil je gegevens gaan verwerken, maar levert dit een hoog privacyrisico op? Dan moet je eerst een Data Protection Impact Assessment (DPIA) doen. Door het uitvoeren van een DPIA wordt de bescherming van persoonsgegevens gewaarborgd bij de belangenafweging en besluitvorming van (nieuw) beleid, regelgeving en/of (ICT-)projecten. Dit verhoogt de kwaliteit van de besluitvorming.
  3. Verantwoordingsplicht
    Als verwerker van persoonsgegevens heb je een verantwoordingsplicht. Dit houdt in dat je moet kunnen aantonen dat verwerkingen aan de AVG voldoen. In de AVG staat een aantal verplichte maatregelen die je moet nemen om te voldoen aan je verantwoordingsplicht, te weten:
    • Het opstellen van een verwerkingsregister
      Sinds de komst van de AVG moeten gemeenten alle processen waarin persoonsgegevens worden verwerkt vastleggen én bijhouden in een zogenoemd verwerkingsregister. Hoe je een verwerkingsregister opstelt kun je lezen in mijn eerdere blog ‘Een verwerkingsregister invullen, hoe pak je dat aan?’. Vervolgens is het ook belangrijk dat je ervoor zorgt dat het bijhouden van het verwerkingsregister op een juiste en consistente wijze gebeurt.
    • Het opstellen van een privacybeleid
      Het privacybeleid geeft de kaders weer waarbinnen de gemeente zich kan bewegen als het gaat om privacy. In dit beleid wordt o.a. formeel de privacyorganisatie beschreven qua taken en verantwoordelijkheden en wat de gemeente beoogt met de implementatie van de AVG. Dit beleid vormt de basis voor verdere procedures en afspraken binnen de gemeenten. De Vereniging van Nederlandse Gemeenten (VNG) heeft een standaard template voor een algemeen privacybeleid opgesteld die je als gemeente kunt gebruiken. Echter, is het aan te raden het beleid toe te schrijven naar je eigen organisatie, zodat het ook daadwerkelijk een eigen beleid van de gemeente is. Ook hier is het weer van belang dat het management achter dit beleid staat en zichzelf en de gemeente hierin herkent.
  4. Rechtmatige gegevensverwerking
    Wanneer je als organisatie persoonsgegevens verwerkt, eist de AVG dat je eerst moet nagaan of de verwerking rechtmatig is. Is dit niet het geval? Dan mogen er geen persoonsgegevens worden verwerkt. Maar de vraag of een gegevensverwerking rechtmatig is, is niet altijd in één zin te beantwoorden. Dat hangt namelijk af van een aantal factoren. Welke factoren dit zijn, lichten we aan de hand van een aantal vragen toe in de blog ‘Is jouw gegevensverwerking rechtmatig?’
  5. Rechten van betrokkenen toepassen
    Verder moet je als gemeenten burgers goed informeren over wat je als gemeente met hun gegevens doet. En burgers de mogelijkheid geven hun privacyrechten uit te oefenen. Sinds de komst van de AVG hebben burgers namelijk meer middelen in handen gekregen om daar zelf controle over uit te voeren.

Digitale innovaties

De wereldwijde digitalisering gaat razendsnel. We zoeken steeds vaker naar datagedreven oplossingen voor o.a. mobiliteit, energie, veiligheid en huisvesting. Bijvoorbeeld wifitracking om de drukte in de stad te meten of het gebruik van gezichtsherkenning voor beveiligings- en wetshandhavingsdoeleinden in de openbare ruimte. De mogelijkheden van deze oplossingen zijn enorm, maar de bijhorende risico’s ook. Zulke oplossingen hebben namelijk grote invloed op de privacy van bewoners. Het is daarom erg belangrijk dat je er als gemeente voor zorgt dat de privacy voldoende wordt gewaarborgd bij dergelijke ontwikkelingen. Bijvoorbeeld door het toepassen van Privacy-by-Design. Tevens is het van belang dat voor al deze nieuwe ontwikkelingen een heldere DPIA wordt uitgevoerd om de risico’s in kaart te brengen en welke maatregelen hierop genomen kunnen worden om dit risico te minimaliseren.

Laat een nulmeting uitvoeren door IB&P!

Wil je graag weten of jouw gemeente voldoet aan de basisinrichting van de AVG? Dan kun je door IB&P een nulmeting laten uitvoeren. Als resultaat van deze nulmeting heb je een stappenplan in handen waar de Privacy Officers en proceseigenaren (teamleiders) weer mee verder kunnen.

Meer informatie?
Heb je na het lezen van deze blog vragen of hulp nodig bij het uitvoeren van een DPIA, opstellen van een privacybeleid of het inrichten van een verwerkingsregister? Laat ons dit dan weten en neem contact met ons op.  

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

BIO voor applicatiebeheerders

Om een in-house cursus in te plannen, neem contact met ons op!

Meer blogs lezen

Gemeentelijke privacy: Een blik achter de schermen

De AVG bestaat dit jaar vijf jaar. Sinds 25 mei 2018 moeten alle organisaties, waaronder gemeenten, voldoen aan de verplichtingen uit de AVG bij het verwerken van persoonsgegevens. Maar hoe is het gesteld met de privacy bij gemeenten? Hebben ze de…

Hoe zet je Artificial Intelligence (AI) succesvol in?

Gemeenten maken steeds meer gebruik van AI, omdat dit ontzettend veel kansen biedt. Tegelijkertijd roept het gebruik van AI ook nieuwe vragen op. Je leest er meer over in deze blog

Een DPIA uitgevoerd en dan?

Voor gegevensverwerkingen met een hoog privacyrisico geldt dat je een DPIA moet uitvoeren. Maar wat doe je met de uitkomsten van een DPIA en hoe zorg je ervoor dat een DPIA geen eenmalige actie is maar over een bepaalde tijd herhaald wordt?

Hoe krijg je informatiebeveiliging op de bestuurstafel?

Het ambtelijk bestuur is eindverantwoordelijk voor informatiebeveiliging. Het is dus belangrijk dat zij een goed beeld hebben van de risico’s die informatiebeveiliging met zich mee brengt. Maar hoe krijg je als lijnmanager of CISO informatiebeveil…

Hoe voer je een DPIA uit?

Het uitvoeren van een DPIA is soms niet eenvoudig. In deze blog lees je daarom wat een DPIA precies is, wanneer je een DPIA uitvoert en welke stappen daarbij worden doorlopen.

Klaar voor actie: De rol van workshops in het voorbereiden van calamiteitenteams

Het uitvallen van belangrijke ICT-voorzieningen kan leiden tot een verstoring van de gemeentelijke dienstverlening. Vanuit de BIO is het inrichten van bedrijfscontinuïteit daarom verplicht. Maar wat is bedrijfscontinuïteit precies en hoe zorg je d…