Een belangrijk onderdeel binnen de Algemene Verordening Gegevensbescherming (AVG) is dat de gemeente zich aantoonbaar aan deze wet moet houden. Dit noemen we ook wel de verantwoordingsplicht. Maar hoe ziet die verantwoordingsplicht eruit? Je leest het in deze blog.

De verantwoordingsplicht

De Algemene Verordening Gegevensbescherming (AVG) dwingt organisaties om veilig en zorgvuldig om te gaan met de persoonsgegevens die worden verwerkt. Als verwerker van persoonsgegevens moet je daarom kunnen aantonen dat aan alle regels van de AVG (artikel 5) wordt voldaan. Dit noemen we ook wel de verantwoordingsplicht. Hier horen ook een aantal administratieve verplichtingen en documenten bij. Wanneer de Autoriteit Persoonsgegevens (AP) komt controleren, moet je als gemeente die documentatie aan de AP kunnen overhandigen. Hiermee toon je aan dat de gemeente aan alle beginselen en verplichtingen uit de AVG voldoet.

Verplichte maatregelen

In de AVG staat een aantal verplichte maatregelen die je moet nemen om te voldoen aan je verantwoordingsplicht, namelijk:

1. Het opstellen van een verwerkingsregister
   Sinds de komst van de AVG moeten gemeenten alle processen waarin persoonsgegevens worden verwerkt vastleggen én bijhouden in een zogenoemd verwerkingsregister. Hoe je een verwerkingsregister opstelt kun je lezen in mijn eerdere blog ‘Een verwerkingsregister invullen, hoe pak je dat aan?’. Vervolgens is het ook belangrijk dat je ervoor zorgt dat het bijhouden van het verwerkingsregister op een juiste en consistente wijze gebeurt.
   
   
2. Het opstellen van een privacybeleid
   Het privacybeleid geeft de kaders weer waarbinnen de gemeente zich kan bewegen als het gaat om privacy. In dit beleid wordt o.a. formeel de privacyorganisatie beschreven qua taken en verantwoordelijkheden en wat de gemeente voor ogen heeft met de implementatie van de AVG. Dit beleid vormt de basis voor verdere procedures en afspraken binnen de gemeente. De Informatiebeveiligingsdienst voor Gemeenten (IBD) heeft een standaard template voor een algemeen privacybeleid opgesteld die je als gemeente kan gebruiken. Wel is het aan te raden het beleid toe te schrijven naar je eigen organisatie, zodat het ook daadwerkelijk een eigen beleid van de gemeente is. Ook hier is het weer belangrijk dat het management achter dit beleid staat en zichzelf en de gemeente hierin herkent.
   
   
3. Het uitvoeren van een Data Protection Impact Assessment (DPIA) 
   Voor gegevensverwerkingen met een hoog privacyrisico geldt dat je eerst een Data Protection Impact Assessment (DPIA) moet doen. Door het uitvoeren van een DPIA wordt de bescherming van persoonsgegevens gewaarborgd bij de belangenafweging en besluitvorming van (nieuw) beleid, regelgeving en/of (ICT-)projecten. Dit verhoogt de kwaliteit van de besluitvorming.
   
   
4. Het bijhouden van een datalekregister
   De (AVG) verplicht organisaties ook om alle datalekken die optreden, op te nemen in een datalekregister. Naast deze registratieplicht is er ook een meldplicht: ernstige datalekken moeten binnen 72 uur gemeld worden aan de Autoriteit Persoonsgegevens (AP). In sommige gevallen moeten de betrokkenen (degene van wie er gegevens zijn gelekt) ook op de hoogte worden gesteld van het lek. Let op, in het datalekregister moeten alle datalekken staan, dus ook de datalekken die de gemeente niet hoeft te melden bij de AP.

Naast de verplichte maatregelen, kan je er als gemeente voor kiezen om extra maatregelen te nemen. Het wordt aangeraden om deze maatregelen ook te nemen om aan de AP te kunnen laten zien dat de gemeente voldoet aan de eisen van de AVG. Zo kan je bijvoorbeeld verantwoording afleggen over de verwerking van persoonsgegevens in het jaarverslag of in een speciaal privacy-jaarverslag.

Technische en organisatorische maatregelen 

Naast de bovenstaande verplichte maatregelen moet je kunnen aantonen dat er voldoende technische en organisatorische maatregelen zijn genomen om persoonsgegevens te beveiligen. De AP kan hier namelijk naar vragen. Zie hieronder enkele voorbeelden van technische en organisatorische maatregelen en hoe je hier verantwoording over af kan leggen.

• Logische en fysieke (toegangs-)beveiliging en beveiliging van apparatuur. Dit gaat dus om zowel de beveiliging van personen, gebouwen, ruimtes en middelen tegen fysieke invloeden, alsook over de beveiliging van informatiesystemen, bijvoorbeeld een computernetwerk. Stel hiervoor een toegangsbeveiligingsbeleid op, waarin wordt beschreven hoe de gemeente omgaat met toegangsbeveiliging. Het beleid is onderdeel van het overall informatiebeveiligingsbeleid. Meer weten over hoe je dit doet? Lees dan ook onze eerdere blog ‘Weet jij wie je binnenlaat? Het managen van toegangsbeveiliging’.
• Beheer van technische kwetsbaarheden (patchmanagement). Het is belangrijk om een kwetsbaarheid zo snel mogelijk te verhelpen zodra een update beschikbaar is. Zorg dus dat er een formeel, beschreven, geaccepteerd en werkend patchmanagementproces is. Benieuwd hoe je zo’n proces inricht? Lees dan onze blog ‘Het belang van patchmanagement’.
• Versleuteling van gegevens. Een veel gebruikte manier om gegevens goed te beveiligen is encryptie (versleuteling). Een encryptiebeleid is daarbij een randvoorwaarde. Met dit beleid kan je aantonen op welke wijze de gemeente omgaat met de versleuteling van gegevens. Wat er allemaal in een encryptiebeleid moet staan, lees je in onze blog ‘De BIO en het toepassen van encryptie; wat moet je weten?’.
• Anonimiseren en pseudonimiseren. Om persoonsgegevens te beschermen kan je deze onherleidbaar maken door ze bijvoorbeeld te mixen of te anonimiseren. De keuzes over wanneer je wel of niet gaat anonimiseren moet je vastleggen, dit is vaak onderdeel van de DPIA.
• Toewijzen van verantwoordelijkheden voor informatiebeveiliging: wie doet wat, wanneer en hoe? Creëer een heldere verdeling van taken, bevoegdheden en verantwoordelijkheden en leg dit vast in het informatiebeveiligingsbeleid.
• Sluiten van verwerkersovereenkomsten. Elke gemeente heeft de verplichting om afspraken te maken met een verwerker, om ervoor te zorgen dat die ook de juiste beveiligingsmaatregelen treft. Dit leg je vast in een verwerkersovereenkomst. In deze blog geven we je vijf tips over het opstellen van een verwerkersovereenkomst.
• Beperk zo veel mogelijk de verwerking van persoonsgegevens. Verzamel dus alleen dat wat je nodig hebt voor het einddoel. Dus, minimaliseer! De manier waarop je dataminimalisatie toepast, kan je vastleggen in het privacybeleid.
• Beheren van autorisaties. Geef medewerkers alleen toegang tot informatiesystemen en/of gegevens die nodig zijn voor het uitvoeren van hun functie. Een handig hulpmiddel hierbij is een autorisatiematrix. Eerder hebben we een tien stappenplan gemaakt over hoe je zo’n autorisatiematrix opstelt én borgt binnen je organisatie. Op het moment dat je verantwoording moet afleggen kan je de autorisatiematrix ook overhandigen.
• Bevorderen van beveiligingsbewustzijn bij bestaande en nieuwe medewerkers. Medewerkers moeten zich bewust zijn van de risico’s op het gebied van informatiebeveiliging en privacy. Binnen de BIO en AVG wordt aangegeven dat de bewustwording meegenomen moet worden. Wat betreft bewustwording creëren is ons eigen boek een aanrader om eens te lezen.

Verantwoording afleggen aan AP

Je bent als gemeente verplicht verantwoording af te leggen over je gegevensverwerkingen wanneer de Autoriteit Persoonsgegevens (AP) daar om vraagt. Zorg daarom dat je aan de verantwoordingsplicht voldoet. Daarnaast is privacy en het beveiligen van gegevens een continu proces (plan, do, check, act). Je moet blijven monitoren of de genomen beveiligingsmaatregelen nog passend zijn.

Wat als je je niet kan verantwoorden?

De AP kan organisaties die zich niet aan de AVG houden een boete opleggen van, afhankelijk van het soort overtreding, maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet. Hiermee is er sprake van een materieel belang. De controlerende accountant moet inzicht verkrijgen in de verwerking van persoonsgegevens die kunnen wijzen op een niet-naleving van de AVG en dus van materieel belang kunnen zijn op de jaarrekening. Als er (mogelijke) overtredingen van de AVG worden vastgesteld, kan dat ertoe leiden dat er een voorziening, schuld of toelichting moet worden opgenomen in de jaarrekening. Ook kan het voorkomen dat een organisatie grote investeringen moet doen om compliant te worden met de AVG.

Kortom, zorg dat je bovenstaande zaken op orde hebt zodat je je kan verantwoorden, mocht de AP bij jouw gemeente aankloppen…

Meer informatie?
Heb je na het lezen van deze blog vragen of hulp nodig bij het voldoen aan de verantwoordingsplicht? Laat ons dit dan weten en neem contact met ons op.