27-05-2019 / nieuws / soul:made

Matige voorbereiding op komst AVG leidt bij gemeenten één jaar na dato tot gebrek aan aantoonbare verantwoording

Het is alweer een jaar geleden dat de Algemene Verordening Gegevens-bescherming, beter bekend als de AVG, officieel haar intrede deed op 25 mei 2018. Deze nieuwe AVG privacywetgeving bracht nogal wat voorbereiding en werk met zich mee, zeker voor gemeenten. Hoogste tijd om de balans op te maken onder onze Nederlandse gemeenten. Mind Your Step ging op onderzoek uit, want hoe is het nu eigenlijk gesteld met de implementatie en de naleving van deze privacywet? Hoe staat het met de bewustwording onder de gemeentelijke medewerkers? En misschien nog wel het belangrijkste, in welke mate voldoen onze gemeenten, die dagelijks onze persoonsgegevens verwerken, aan hun verplichtingen op het gebied van privacy- en informatiebeveiliging? De resultaten zijn minder rooskleurig dan één jaar na dato mag worden verwacht.

 

Naleving en verantwoordingsplicht van de AVG niet overal even strak ingeregeld

Om de huidige stand van implementatie en naleving van de AVG te bepalen, is er door Mind Your Step een grootschalig onderzoek verricht onder meer dan de helft van alle Nederlandse gemeenten (187). Jurist in spe Jeroen van Dijk, Juridische Hogeschool Avans-Fontys Tilburg, heeft zich hierbij ook gericht op de noodzakelijke randvoorwaarden voor gemeenten om aantoonbaar hun verantwoordingsplicht te kunnen naleven.

 

Wat blijkt? Nadat een te geringe voorbereiding op de AVG bij gemeenten heeft geleid tot achterstanden bij de implementatie, komt nu, bijna een jaar nadat de AVG van toepassing werd, de naleving langzaam op gang. De resultaten schetsen een wisselend beeld onder gemeenten als het gaat om het aantoonbaar kunnen verantwoorden op AVG verplichtingen. Er lijkt nog een lange weg te gaan op privacyvlak, al is er zeker ook positief nieuws te melden.

 

Matige voorbereiding op de AVG

De prioriteitendruk die het gemeentelijk speelveld al een aantal jaren kenmerkt, is in 2018 verder verzwaard, doordat de AVG van toepassing werd. Met daarbij de expliciete opdracht aan gemeenten om aan de verantwoordingsverplichting van de AVG te voldoen en nadruk te leggen op het creëren van bewustwording onder medewerkers. Hieraan is zeker deels gehoor gegeven door onze gemeenten. Zo hadden nagenoeg alle gemeenten een Functionaris Gegevensbescherming (FG) aangesteld en/of een verwerkingsregister opgesteld nog voor de AVG van toepassing werd vorig jaar mei. Het kleine aantal gemeenten dat dit niet tijdig regelde, liep helaas gelijk achter de feiten aan.

 

Opmerkelijk feit is wel dat zo’n 86% van alle gemeenten nog een datalekkenregister heeft opgesteld nét voor de komst van de AVG, terwijl een datalekkenregister al een gemeentelijke verplichting was onder de vorige privacywetgeving, de Wet bescherming persoonsgegevens (Wbp). Dit laat helaas zien dat de handhaving op de Wbp op een laag pitje stond en gemeenten hier hun prioritering op hadden aangepast. Onder de AVG hebben gemeenten echter opnieuw geprioriteerd zo lijkt het, de verantwoordingsplicht is nu maximaal van kracht. Maar doen Nederlandse gemeenten dit ook daadwerkelijk?

 

Druk op aantoonbare verantwoording

De verantwoordingsplicht die de AVG met zich meebrengt en die gecontroleerd wordt door de Autoriteit Persoonsgegevens (AP) heeft een grote impact op het reilen en zeilen van gemeenten. Naast het feit dat gemeenten de AVG moeten naleven, moeten zij de naleving ook aantoonbaar kunnen verantwoorden. En dat betekent aanzienlijk wat werk voor gemeenten; meer verantwoordelijkheden op het gebied van zelfevaluaties en audits, meer toezicht op gegevensverwerkingen en meer aandacht voor de rechten van betrokkenen. Daarnaast zijn Data Protection Impact Assessments (DPIA’s) een belangrijkere rol gaan spelen. Een DPIA is een risicoanalyse van een gegevensverwerking, waarbij wordt geanalyseerd welke grondslagen en doeleinden er nodig of aanwezig zijn en welke risico’s en gevolgen de verwerking met zich meebrengt. Een grote rol hierin is uiteraard weggelegd voor de FG. Een FG heeft een toezichthoudende en adviserende rol en dient dus alle ruimte te krijgen van het management om de naleving te controleren. Daarnaast heeft de FG als taak om medewerkers kennis bij te brengen, verantwoordelijkheden toe te dichten of bewust te maken van de AVG. Een jaar na invoering van de AVG laat de gemeentelijke praktijk echter zien dat de FG veelal pas geraadpleegd wordt als het al te laat is en vaak controles achteraf uitvoert in plaats van proactief vooruit te managen. Het onderzoek laat ook positieve beweging zien: het afgelopen jaar heeft het creëren van bewustzijn bij de gemeentelijke medewerkers veel aandacht gekregen.

 

Veel aandacht voor bewustwording

Uit het onderzoek blijkt dat gemeenten de bewustwording van de medewerkers als de sleutel tot succes zien voor een geslaagde implementatie en naleving van de AVG. Ook als het gaat om aantoonbare verantwoording. Een bewuste medewerker is namelijk alerter én zorgvuldiger, waardoor misstappen op het vlak van informatieveiligheid en privacy, zoals datalekken, kunnen worden voorkomen. Het doel van bewustwording is ook het creëren van draagvlak binnen gemeenten. De houding en toewijding van gemeenten als organisatie blijkt echter ver achter te blijven op het bewustzijn van de medewerkers. Dit heeft verschillende redenen; allereerst zijn de verantwoordelijkheden nog hoog in de organisatie belegd, terwijl het lager beleggen van verantwoordelijkheden in de organisatie veel sneller zal zorgen voor een andere (positieve) houding bij het lijnmanagement ten aanzien van privacy. Ten tweede, is het veranderen van de houding van de gehele organisatie iets wat tijd vergt.

De belangrijkste conclusie uit het onderzoek is dan ook dat het privacy bewustzijn van zowel medewerkers als het management binnen gemeenten periodiek en regelmatig gecontroleerd én aangewakkerd moet worden. Het is een continu proces en geen eenmalige exercitie. Een belangrijk leerpunt dat ook in de komende jaren de sleutel tot succes is bij aantoonbare verantwoording op de verplichtingen die de AVG stelt.

 

Benieuwd naar het volledige onderzoek? Kijk dan hier.
Vragen over het onderzoek? Neem contact op met Marlies Schamper via marlies@soulmade.nl of door te bellen naar 0162-430345.