Het begin van een nieuw jaar betekent ook dat het weer tijd is voor het jaarverslag. Zo is het aan te raden om als Functionaris Gegevensbescherming (FG) te rapporteren over privacy. Want, bestuurders willen weten waar de organisatie staat en hoe de privacywetgeving wordt nageleefd binnen de gemeente. In de jaarrapportage staat beschreven welke acties en maatregelen er het afgelopen jaar zijn genomen op privacyvlak. Waarom dit belangrijk is en op welke onderdelen je allemaal moet rapporteren, lees je in deze blog.
Waarom belangrijk?
Het implementeren van privacy, Algemene Verordening Gegevensbescherming (AVG) of Wet politiegegevens (WPG), is geen eenmalige actie, maar vraagt om continue aandacht. Om de effectiviteit te borgen en tijdig in te kunnen spelen op nieuwe ontwikkelingen en risico’s, is het dus belangrijk om jaarlijks te monitoren hoe het ervoor staat op privacyvlak én hierover te rapporteren. Door hierover te rapporteren kan je als FG het bestuur informeren. Dat doe je vanuit je wettelijke taak om toe te zien op de naleving van de privacywetgeving en het interne beleid. Het bestuur kan op zijn beurt de status bespreken. Waar staan we als gemeente? Maken we vorderingen? En zo ja, in de juiste richting? Of zijn er verbeteringen/aanvullende maatregelen/acties nodig?
In de rapportage is het belangrijk om ook duidelijk aan te geven wat je van het management verwacht en wat je van hen nodig hebt: waarop moeten zij actie ondernemen? Wat zijn de gevraagde beslissingen? Wat zijn de volgende stappen? Moet het management daadwerkelijk iets met deze informatie doen, of is de rapportage slechts informatief? Door ze te betrekken bij het proces creëer je niet alleen draagvlak, ook zorgt het voor een stukje bewustwording in de top.
Twee niveaus
Binnen de gemeente kan je als FG op twee niveaus rapporteren, namelijk aan de gemeenteraad en aan het college van Burgemeester en Wethouders (B&W). Het jaarverslag aan de gemeenteraad is enerzijds bedoeld om het college te controleren, en anderzijds is de gemeenteraad zelf ook verwerkingsverantwoordelijke. Het college moet op zijn beurt weer verantwoording afleggen aan de gemeenteraad. Uiteraard kan je er als FG ook voor kiezen om beide rapportages samen te voegen en één jaarrapportage aan te bieden voor de gehele organisatie.
Aan de slag!
Je start het schrijven van je jaarverslag met een analyse van de activiteiten en ontwikkelingen van het afgelopen jaar. Hieronder een opsomming van onderdelen waarop je o.a. kan rapporteren:
- Het privacybeleid
Het privacybeleid geeft de kaders weer waarbinnen de gemeente zich kan bewegen als het gaat om privacy. In dit beleid wordt o.a. formeel de privacy organisatie beschreven qua taken en verantwoordelijkheden en wat de gemeente beoogt met de implementatie van de AVG en WPG. Geef aan of hier het afgelopen jaar nog aanpassingen in zijn geweest (of eventueel zouden moeten gebeuren) en of het beleid het afgelopen jaar goed is gevolgd. Neem hierin ook mee wat de verantwoordelijkheden zijn van de gemeenteraad en/of het college op het gebied van privacy.
- Organisatorische inbedding van privacy
Beschrijf op welke wijze en hoe de uitvoering van de privacywetgeving binnen de organisatie geborgd is en verloopt. Hierbij is het belangrijk om te benadrukken dat niet alleen de Privacy Officer of FG verantwoordelijk is voor privacy, maar dat met name ook de lijnmanagers een grote verantwoordelijkheid hebben om binnen hun eigen afdeling de privacymaatregelen te implementeren.
- Rechten van betrokkenen
Als burger heb je verschillende rechten om controle te houden over je persoonsgegevens; ook wel ‘rechten van betrokkenen’ genoemd. Als gemeente heb je je te houden aan deze rechten. Geef in je rapportage aan of er het afgelopen jaar aanvragen zijn geweest met betrekking tot rechten van betrokkenen, zoals bijvoorbeeld een inzageverzoek. En zo ja, hoe zijn deze aanvragen verlopen? Waren er leerpunten? Wat verwachten we voor het komende jaar? En moet de procedure/aanpak nog worden verbeterd?
- Datalekken
Geef aan hoeveel en welke datalekken er het afgelopen jaar hebben plaatsgevonden en/of gemeld zijn bij de Autoriteit Persoonsgegevens (AP). Beschrijf ook wat de (belangrijkste) oorzaken waren van datalekken en welke maatregelen er het afgelopen jaar zijn geïmplementeerd (of komend jaar moeten worden geïmplementeerd) om te voorkomen dat dit soort datalekken in de toekomst weer plaatsvinden. Zorg hierbij dat je in je rapportage een duidelijke toelichting van de context geeft. Een toename van het aantal geregistreerde datalekken kan verschillende reacties opleveren, zoals: ‘Er vinden meer datalekken plaats, dus het is niet goed geregeld’. Maar het kan ook zijn dat er een beter beeld is van het aantal datalekken doordat de signalering en registratie verbeterd zijn. Je ziet vaak dat wanneer hier intern veel aandacht aan besteed wordt (vanuit bewustwording) het aantal meldingen stijgt. Datalekken die eerder onder de radar bleven weten collega’s nu beter te herkennen en ook hoe ze dit moeten melden. Dit is dus een positieve conclusie en zou ook op deze wijze gerapporteerd moeten worden. - DPIA’s
Voor gegevensverwerkingen met een hoog privacyrisico geldt dat je eerst een Data Protection Impact Assessment (DPIA) moet doen. Geef een overzicht van welke DPIA’s er het afgelopen jaar zijn uitgevoerd en welke er het komende jaar nog uitgevoerd moeten worden. Geef hierbij aan of deze DPIA’s op de juiste manier zijn uitgevoerd en wat de belangrijkste resultaten waren. Beschrijf ook welke acties er zijn ondernomen naar aanleiding van de conclusies van een DPIA. Het is belangrijk om bij het bestuur aan te geven dat, op basis van de bevindingen, het inderdaad goed is geweest dat er een DPIA is uitgevoerd. Het kan soms voorkomen dat het uitvoeren van een DPIA gezien wordt als ‘een verplicht vinkje halen’. In deze rapportage kan je als FG juist het nut en noodzaak aangeven van waarom we dit doen, aan de hand van concrete voorbeelden uit de praktijk.
- Register van verwerkingen
Als gemeente ben je verplicht om al je verwerkingen van persoonsgegevens bij te houden in een eigen register, een zogeheten verwerkingsregister. Geef aan wat de status is van dit register. Is het register bijgehouden en up-to-date? Welke problemen ondervinden we binnen de gemeente om dit register up-to-date te houden? Of zijn hier voor komend jaar nog speciale aandachtspunten?
- Bewustwording
Medewerkers en leidinggevenden moeten zich bewust zijn van de risico’s op het gebied van privacy. Het beveiligingsbewustzijn bij bestaande en nieuwe medewerkers moet continu bevorderd worden. Herhaling is de beste leermeester. Geef aan wat er afgelopen jaar gedaan is aan bewustwording van medewerkers? En wat was de effectiviteit van deze acties? Heb je medewerkers bereikt? Slaan ze het geleerde op en handelen ze anders? Het gaat vaak niet alleen om kennisoverdracht, je wilt ook een gedragsverandering bereiken. Geef daarnaast aan op welke wijze je hetbewustwordingsprogramma actualiseert, eventueel in samenwerking met de CISO. Technologie verandert in rap tempo en ook organisatorisch kunnen de prioriteiten veranderen. Pas je programma hierop aan. Beschrijf in je jaaroverzicht welke bewustwordingsacties hebben plaatsgevonden en welke mogelijk ingepland moeten worden voor komend jaar. - Naleving
Hier kan je als FG beschrijven welke controle activiteiten je vanuit je toezichthoudende rol hebt uitgevoerd, wat de uitkomsten daarvan waren en wat de consequenties zijn. Wat mij betreft is dit een belangrijk onderdeel in de jaarrapportage, waarin je ook juist jouw positie als FG goed kan neerzetten.
Vervolgens blik je vooruit naar komend jaar, eventueel weer vanuit de bovenstaande onderdelen. Wanneer er nog geen budget geregeld is om de geplande activiteiten te realiseren, is dit ook het ideale moment om hier aandacht voor te vragen.
Ondersteuning vanuit de IBD
De Informatiebeveiligingsdienst voor gemeenten (IBD) heeft samen met gemeenten een voorbeeld jaarrapportage van de FG ontwikkeld, ten behoeve van de gemeenteraad en het college van B&W. Deze templates kunnen je op weg helpen bij het maken van de jaarrapportage. Mijn advies is wel om niet zomaar de gehele template over te nemen, maar deze goed toe te spitsen op de eigen organisatie. Want, het jaarverslag moet het bestuur inzicht geven in hoe privacy binnen jouw gemeente is geïmplementeerd (of wat er staat te gebeuren komend jaar). Die herkenning van de organisatie is wel belangrijk om je jaarrapport te laten landen. Wees dus niet te algemeen, maar benoem waar mogelijk concrete voorbeelden uit de praktijk.
Tot slot een tip voor de FG: rapporteer samen met de CISO over privacy en informatiebeveiliging. Mijn volgende blog gaat over wat je als CISO kan rapporteren naar de gemeenteraad en het college van B&W.
Meer informatie?
Heb je na het lezen van deze blog vragen of hulp nodig bij het opstellen van je jaarrapportage? Laat ons dit dan weten en neem contact met ons op.
- Applicatiebeheer en de AVG: wat moet je weten? - 8 december 2024
- Van code naar vertrouwen: bouw het veilig - 22 november 2024
- Wat kunnen gemeenten leren van het Sectorbeeld Overheid 2024? - 10 november 2024
Lees ons boek
Gemeenten. Bewustzijn. Privacy.
Training
Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders
Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!