Voldoe je als gemeente aan de AVG?


We zijn inmiddels bijna vier jaar verder nadat de Algemene Verordening Gegevensbescherming (AVG) van kracht is gegaan. Veel gemeenten hebben zich de afgelopen jaren met de AVG beziggehouden om ervoor te zorgen dat zij AVG-proof zijn. Met de AVG ben je alleen nooit ‘klaar’. Privacy is namelijk een continu proces. Maar hoe weet je of je als gemeente voldoet aan de AVG?

Het voldoen aan de AVG is geen eenmalig project maar een continu proces dat altijd onderdeel is van de bedrijfsvoering. Als gemeente verzamel en gebruik je grote hoeveelheden (gevoelige) persoonsgegevens. Deze gegevens heb je nodig om je taken uit te voeren. Met name binnen het Sociaal Domein worden veel gegevens, waaronder bijzondere gegevens zoals medische en strafrechtelijke gegevens, verwerkt. Denk o.a. aan de taken op het gebied van de Jeugdwet, de Wet maatschappelijke ondersteuning (Wmo 2015) of de Participatiewet. Dit brengt privacyrisico’s met zich mee. Daarbij komt dat burgers verplicht zijn om hun persoonsgegevens aan de gemeente af te staan. Daarom moet iedereen erop kunnen vertrouwen dat zijn of haar gemeente zorgvuldig met gegevens omgaat. Zo mag je als gemeente nooit meer gegevens gebruiken dan noodzakelijk. En mag je de verzamelde persoonsgegevens niet zomaar voor een ander doel gebruiken. Ook moet je de verzamelde persoonsgegevens goed beveiligen. Dit was overigens ook al zo voor de komst van de AVG. Wel hebben organisaties, waaronder gemeenten, met de AVG een aantal nieuwe verplichtingen erbij gekregen die ik in deze blog weer eens op een rij zet, zodat je kunt checken of jouw gemeente voldoet aan de AVG:

Verplichtingen AVG
Sinds de AVG zijn er de volgende nieuwe verplichtingen:

  1. Functionaris Gegevensbescherming (FG)
    De AVG verplicht gemeenten om een Functionaris Gegevensbescherming (FG) aan te stellen als zij verwerker of verwerkingsverantwoordelijke zijn. De FG is de interne toezichthouder en heeft een aantal kerntaken. Welke taken dit zijn lees je in mijn eerdere blog ‘Functionaris Gegevensbescherming versus Privacy Officer – wie doet wat?’.
  2. Data Protection Impact Assessment (DPIA)
    Wil je gegevens gaan verwerken, maar levert dit een hoog privacyrisico op? Dan moet je eerst een Data Protection Impact Assessment (DPIA) doen. Door het uitvoeren van een DPIA wordt de bescherming van persoonsgegevens gewaarborgd bij de belangenafweging en besluitvorming van (nieuw) beleid, regelgeving en/of (ICT-)projecten. Dit verhoogt de kwaliteit van de besluitvorming.
  3. Verantwoordingsplicht
    Als verwerker van persoonsgegevens heb je een verantwoordingsplicht. Dit houdt in dat je moet kunnen aantonen dat verwerkingen aan de AVG voldoen. In de AVG staat een aantal verplichte maatregelen die je moet nemen om te voldoen aan je verantwoordingsplicht, te weten:
    • Het opstellen van een verwerkingsregister
      Sinds de komst van de AVG moeten gemeenten alle processen waarin persoonsgegevens worden verwerkt vastleggen én bijhouden in een zogenoemd verwerkingsregister. Hoe je een verwerkingsregister opstelt kun je lezen in mijn eerdere blog ‘Een verwerkingsregister invullen, hoe pak je dat aan?’. Vervolgens is het ook belangrijk dat je ervoor zorgt dat het bijhouden van het verwerkingsregister op een juiste en consistente wijze gebeurt.
    • Het opstellen van een privacybeleid
      Het privacybeleid geeft de kaders weer waarbinnen de gemeente zich kan bewegen als het gaat om privacy. In dit beleid wordt o.a. formeel de privacyorganisatie beschreven qua taken en verantwoordelijkheden en wat de gemeente beoogt met de implementatie van de AVG. Dit beleid vormt de basis voor verdere procedures en afspraken binnen de gemeenten. De Vereniging van Nederlandse Gemeenten (VNG) heeft een standaard template voor een algemeen privacybeleid opgesteld die je als gemeente kunt gebruiken. Echter, is het aan te raden het beleid toe te schrijven naar je eigen organisatie, zodat het ook daadwerkelijk een eigen beleid van de gemeente is. Ook hier is het weer van belang dat het management achter dit beleid staat en zichzelf en de gemeente hierin herkent.
  4. Rechtmatige gegevensverwerking
    Wanneer je als organisatie persoonsgegevens verwerkt, eist de AVG dat je eerst moet nagaan of de verwerking rechtmatig is. Is dit niet het geval? Dan mogen er geen persoonsgegevens worden verwerkt. Maar de vraag of een gegevensverwerking rechtmatig is, is niet altijd in één zin te beantwoorden. Dat hangt namelijk af van een aantal factoren. Welke factoren dit zijn, lichten we aan de hand van een aantal vragen toe in de blog ‘Is jouw gegevensverwerking rechtmatig?’
  5. Rechten van betrokkenen toepassen
    Verder moet je als gemeenten burgers goed informeren over wat je als gemeente met hun gegevens doet. En burgers de mogelijkheid geven hun privacyrechten uit te oefenen. Sinds de komst van de AVG hebben burgers namelijk meer middelen in handen gekregen om daar zelf controle over uit te voeren.

Digitale innovaties

De wereldwijde digitalisering gaat razendsnel. We zoeken steeds vaker naar datagedreven oplossingen voor o.a. mobiliteit, energie, veiligheid en huisvesting. Bijvoorbeeld wifitracking om de drukte in de stad te meten of het gebruik van gezichtsherkenning voor beveiligings- en wetshandhavingsdoeleinden in de openbare ruimte. De mogelijkheden van deze oplossingen zijn enorm, maar de bijhorende risico’s ook. Zulke oplossingen hebben namelijk grote invloed op de privacy van bewoners. Het is daarom erg belangrijk dat je er als gemeente voor zorgt dat de privacy voldoende wordt gewaarborgd bij dergelijke ontwikkelingen. Bijvoorbeeld door het toepassen van Privacy-by-Design. Tevens is het van belang dat voor al deze nieuwe ontwikkelingen een heldere DPIA wordt uitgevoerd om de risico’s in kaart te brengen en welke maatregelen hierop genomen kunnen worden om dit risico te minimaliseren.

Laat een nulmeting uitvoeren door IB&P!

Wil je graag weten of jouw gemeente voldoet aan de basisinrichting van de AVG? Dan kun je door IB&P een nulmeting laten uitvoeren. Als resultaat van deze nulmeting heb je een stappenplan in handen waar de Privacy Officers en proceseigenaren (teamleiders) weer mee verder kunnen.

Meer informatie?
Heb je na het lezen van deze blog vragen of hulp nodig bij het uitvoeren van een DPIA, opstellen van een privacybeleid of het inrichten van een verwerkingsregister? Laat ons dit dan weten en neem contact met ons op.  

Erna Havinga
Laatste berichten van Erna Havinga (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

BIO voor applicatiebeheerders

Kijk voor meer informatie op onze website

Meer blogs lezen

Behaviour by Design?

Alleen technische beveiligingsmaatregelen nemen om incidenten te voorkomen is nooit genoeg. Uiteindelijk draait het om het gedrag van mensen. Maar hoe zorg je voor bewuste medewerkers? Ofwel, hoe maak je bewustwording tot een succes?

Gezichtsherkenning een inbreuk op de privacy?

Gezichtsherkenning is een methode om de identiteit van personen te ontdekken of te controleren aan de hand van hun gezicht. Privacyorganisaties maken zich zorgen over de opmars van slimme camera’s met gezichtsherkenning. Want hoe zit het met het w…

Wanneer gebruik je BBN2+?

Binnen de BIO wordt gebruik gemaakt van drie basisbeveiligingniveaus, ook wel BBN’s genoemd. Voor de meeste informatiesystemen is BBN2 voldoende. Maar het kan voorkomen dat een gemeentelijk informatiesysteem een hoger beschermingsniveau nodig heef…

Functionaris Gegevensbescherming versus Privacy Officer – wie doet wat?

Als het gaat om privacy zijn diverse functies te onderscheiden. Zo spreken we over de Functionaris Gegevensbescherming (FG) en de Privacy Officer (PO). Maar wie is waarvoor verantwoordelijk? Hoe verhouden deze functies zich tot elkaar? En wat zijn…

Risicoanalyse aan de hand van het MAPGOOD-model

Bij een risicoanalyse worden bedreigingen en risico’s benoemd en in kaart gebracht. Vaak is het voor organisaties lastig om vanuit het niets bedreigingen en risico’s op het gebied van informatiebeveiliging te benoemen. Een veel gebruikt model om d…

Model DPIA Rijksdienst 2.0; what’s new?

De Rijksoverheid is verplicht om bij de ontwikkeling van nieuwe wetgeving rekening te houden met de resultaten van een Data Protection Impact Assessment (DPIA). De template van de DPIA Rijksoverheid is geactualiseerd. Wat is er veranderd? In deze …