Wat zet je in je jaarrapportage privacy?

| Erna Havinga | ,

Het begin van een nieuw jaar betekent ook dat het weer tijd is voor het jaarverslag. Zo is het aan te raden om als Functionaris Gegevensbescherming (FG) te rapporteren over privacy. Want, bestuurders willen weten waar de organisatie staat en hoe de privacywetgeving wordt nageleefd binnen de gemeente. In de jaarrapportage staat beschreven welke acties en maatregelen er het afgelopen jaar zijn genomen op privacyvlak. Waarom dit belangrijk is en op welke onderdelen je allemaal moet rapporteren, lees je in deze blog.

Waarom belangrijk?

Het implementeren van privacy, Algemene Verordening Gegevensbescherming (AVG) of Wet politiegegevens (WPG), is geen eenmalige actie, maar vraagt om continue aandacht. Om de effectiviteit te borgen en tijdig in te kunnen spelen op nieuwe ontwikkelingen en risico’s, is het dus belangrijk om jaarlijks te monitoren hoe het ervoor staat op privacyvlak én hierover te rapporteren. Door hierover te rapporteren kan je als FG het bestuur informeren. Dat doe je vanuit je wettelijke taak om toe te zien op de naleving van de privacywetgeving en het interne beleid. Het bestuur kan op zijn beurt de status bespreken. Waar staan we als gemeente? Maken we vorderingen? En zo ja, in de juiste richting? Of zijn er verbeteringen/aanvullende maatregelen/acties nodig?

In de rapportage is het belangrijk om ook duidelijk aan te geven wat je van het management verwacht en wat je van hen nodig hebt: waarop moeten zij actie ondernemen? Wat zijn de gevraagde beslissingen? Wat zijn de volgende stappen? Moet het management daadwerkelijk iets met deze informatie doen, of is de rapportage slechts informatief? Door ze te betrekken bij het proces creëer je niet alleen draagvlak, ook zorgt het voor een stukje bewustwording in de top.

Twee niveaus

Binnen de gemeente kan je als FG op twee niveaus rapporteren, namelijk aan de gemeenteraad en aan het college van Burgemeester en Wethouders (B&W). Het jaarverslag aan de gemeenteraad is enerzijds bedoeld om het college te controleren, en anderzijds is de gemeenteraad zelf ook verwerkingsverantwoordelijke. Het college moet op zijn beurt weer verantwoording afleggen aan de gemeenteraad. Uiteraard kan je er als FG ook voor kiezen om beide rapportages samen te voegen en één jaarrapportage aan te bieden voor de gehele organisatie.

Aan de slag!

Je start het schrijven van je jaarverslag met een analyse van de activiteiten en ontwikkelingen van het afgelopen jaar. Hieronder een opsomming van onderdelen waarop je o.a. kan rapporteren:

  • Het privacybeleid
    Het privacybeleid geeft de kaders weer waarbinnen de gemeente zich kan bewegen als het gaat om privacy. In dit beleid wordt o.a. formeel de privacy organisatie beschreven qua taken en verantwoordelijkheden en wat de gemeente beoogt met de implementatie van de AVG en WPG. Geef aan of hier het afgelopen jaar nog aanpassingen in zijn geweest (of eventueel zouden moeten gebeuren) en of het beleid het afgelopen jaar goed is gevolgd. Neem hierin ook mee wat de verantwoordelijkheden zijn van de gemeenteraad en/of het college op het gebied van privacy.
  • Organisatorische inbedding van privacy
    Beschrijf op welke wijze en hoe de uitvoering van de privacywetgeving binnen de organisatie geborgd is en verloopt. Hierbij is het belangrijk om te benadrukken dat niet alleen de Privacy Officer of FG verantwoordelijk is voor privacy, maar dat met name ook de lijnmanagers een grote verantwoordelijkheid hebben om binnen hun eigen afdeling de privacymaatregelen te implementeren.
  • Rechten van betrokkenen
    Als burger heb je verschillende rechten om controle te houden over je persoonsgegevens; ook wel ‘rechten van betrokkenen’ genoemd. Als gemeente heb je je te houden aan deze rechten. Geef in je rapportage aan of er het afgelopen jaar aanvragen zijn geweest met betrekking tot rechten van betrokkenen, zoals bijvoorbeeld een inzageverzoek. En zo ja, hoe zijn deze aanvragen verlopen? Waren er leerpunten? Wat verwachten we voor het komende jaar? En moet de procedure/aanpak nog worden verbeterd?
  • Datalekken
    Geef aan hoeveel en welke datalekken er het afgelopen jaar hebben plaatsgevonden en/of gemeld zijn bij de Autoriteit Persoonsgegevens (AP). Beschrijf ook wat de (belangrijkste) oorzaken waren van datalekken en welke maatregelen er het afgelopen jaar zijn geïmplementeerd (of komend jaar moeten worden geïmplementeerd) om te voorkomen dat dit soort datalekken in de toekomst weer plaatsvinden. Zorg hierbij dat je in je rapportage een duidelijke toelichting van de context geeft. Een toename van het aantal geregistreerde datalekken kan verschillende reacties opleveren, zoals: ‘Er vinden meer datalekken plaats, dus het is niet goed geregeld’. Maar het kan ook zijn dat er een beter beeld is van het aantal datalekken doordat de signalering en registratie verbeterd zijn. Je ziet vaak dat wanneer hier intern veel aandacht aan besteed wordt (vanuit bewustwording) het aantal meldingen stijgt. Datalekken die eerder onder de radar bleven weten collega’s nu beter te herkennen en ook hoe ze dit moeten melden. Dit is dus een positieve conclusie en zou ook op deze wijze gerapporteerd moeten worden.  

  • DPIA’s
    Voor gegevensverwerkingen met een hoog privacyrisico geldt dat je eerst een Data Protection Impact Assessment (DPIA) moet doen. Geef een overzicht van welke DPIA’s er het afgelopen jaar zijn uitgevoerd en welke er het komende jaar nog uitgevoerd moeten worden. Geef hierbij aan of deze DPIA’s op de juiste manier zijn uitgevoerd en wat de belangrijkste resultaten waren. Beschrijf ook welke acties er zijn ondernomen naar aanleiding van de conclusies van een DPIA. Het is belangrijk om bij het bestuur aan te geven dat, op basis van de bevindingen, het inderdaad goed is geweest dat er een DPIA is uitgevoerd. Het kan soms voorkomen dat het uitvoeren van een DPIA gezien wordt als ‘een verplicht vinkje halen’. In deze rapportage kan je als FG juist het nut en noodzaak aangeven van waarom we dit doen, aan de hand van concrete voorbeelden uit de praktijk.
  • Register van verwerkingen
    Als gemeente ben je verplicht om al je verwerkingen van persoonsgegevens bij te houden in een eigen register, een zogeheten verwerkingsregister. Geef aan wat de status is van dit register. Is het register bijgehouden en up-to-date? Welke problemen ondervinden we binnen de gemeente om dit register up-to-date te houden? Of zijn hier voor komend jaar nog speciale aandachtspunten?
  • Bewustwording
    Medewerkers en leidinggevenden moeten zich bewust zijn van de risico’s op het gebied van privacy. Het beveiligingsbewustzijn bij bestaande en nieuwe medewerkers moet continu bevorderd worden. Herhaling is de beste leermeester. Geef aan wat er afgelopen jaar gedaan is aan bewustwording van medewerkers? En wat was de effectiviteit van deze acties? Heb je medewerkers bereikt? Slaan ze het geleerde op en handelen ze anders? Het gaat vaak niet alleen om kennisoverdracht, je wilt ook een gedragsverandering bereiken. Geef daarnaast aan op welke wijze je hetbewustwordingsprogramma actualiseert, eventueel in samenwerking met de CISO. Technologie verandert in rap tempo en ook organisatorisch kunnen de prioriteiten veranderen. Pas je programma hierop aan. Beschrijf in je jaaroverzicht welke bewustwordingsacties hebben plaatsgevonden en welke mogelijk ingepland moeten worden voor komend jaar.

  • Naleving
    Hier kan je als FG beschrijven welke controle activiteiten je vanuit je toezichthoudende rol hebt uitgevoerd, wat de uitkomsten daarvan waren en wat de consequenties zijn. Wat mij betreft is dit een belangrijk onderdeel in de jaarrapportage, waarin je ook juist jouw positie als FG goed kan neerzetten.

Vervolgens blik je vooruit naar komend jaar, eventueel weer vanuit de bovenstaande onderdelen. Wanneer er nog geen budget geregeld is om de geplande activiteiten te realiseren, is dit ook het ideale moment om hier aandacht voor te vragen.

Ondersteuning vanuit de IBD

De Informatiebeveiligingsdienst voor gemeenten (IBD) heeft samen met gemeenten een voorbeeld jaarrapportage van de FG ontwikkeld, ten behoeve van de gemeenteraad en het college van B&W. Deze templates kunnen je op weg helpen bij het maken van de jaarrapportage. Mijn advies is wel om niet zomaar de gehele template over te nemen, maar deze goed toe te spitsen op de eigen organisatie. Want, het jaarverslag moet het bestuur inzicht geven in hoe privacy binnen jouw gemeente is geïmplementeerd (of wat er staat te gebeuren komend jaar). Die herkenning van de organisatie is wel belangrijk om je jaarrapport te laten landen. Wees dus niet te algemeen, maar benoem waar mogelijk concrete voorbeelden uit de praktijk.

Tot slot een tip voor de FG: rapporteer samen met de CISO over privacy en informatiebeveiliging. Mijn volgende blog gaat over wat je als CISO kan rapporteren naar de gemeenteraad en het college van B&W.

Meer informatie?
Heb je na het lezen van deze blog vragen of hulp nodig bij het opstellen van je jaarrapportage? Laat ons dit dan weten en neem contact met ons op.  

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

BIO voor applicatiebeheerders

Om een in-house cursus in te plannen, neem contact met ons op!

Meer blogs lezen

Wat zet je in je jaarrapportage privacy?

Het is aan te raden om als Functionaris Gegevensbescherming (FG) te rapporteren over privacy. In de jaarrapportage staat beschreven welke acties en maatregelen er het afgelopen jaar zijn genomen op privacyvlak. Waarom dit belangrijk is en op welke…

Leren van de informatiebeveiligingsincidenten van het afgelopen jaar

: Ook al neem je nog zoveel beveiligingsmaatregelen, deze zijn niet altijd waterdicht. Vroeg of laat krijgt elke organisatie te maken met beveiligingsincidenten. Het is daarom belangrijk dat je goed voorbereid bent. In deze laatste blog van het ja…

Hoe toon ik aan dat ik aan de verplichtingen uit de AVG voldoe?

: Een belangrijk onderdeel binnen de AVG is dat de gemeente zich aantoonbaar aan deze wet moet houden. Dit noemen we ook wel de verantwoordingsplicht. Hoe die verantwoordingsplicht eruitziet, lees je in deze blog.

10 veelgemaakte fouten bij het configureren, beheren en beveiligen van systemen

Tien veelgemaakte fouten bij het configureren, beheren en beveiligen van systemen zorgen ervoor dat cybercriminelen nog altijd weten in te breken bij organisaties en toegang krijgen tot netwerken en data. Welke tien fouten zijn dit en hoe kan je d…

Wat zijn mijn plichten als verwerkingsverantwoordelijke?

Als gemeente ben je in veel gevallen verwerkingsverantwoordelijke voor de persoonsgegevens die je verwerkt. Wanneer je verwerkersverantwoordelijke bent, horen hier een aantal plichten bij. Welke dit zijn, lees je in deze blog.

Wachtwoorden beheren? Gebruik een wachtwoordmanager!

De BIO schrijft voor dat gemeenten een wachtwoordmanager beschikbaar moeten stellen aan hun medewerkers. Maar wat is een wachtwoordmanager nu precies? Wat zijn de voordelen? En hoe veilig zijn ze? Je leest het in deze blog!