De implementatie van de AVG bij de gemeente Stein

Het lijkt wellicht nog ver weg, maar op 25 mei 2018 is het toch echt zo ver. Vanaf dan geldt in de hele EU dezelfde privacywetgeving, de zogenaamde Algemene Verordening Gegevensbescherming (AVG). Dit betekent dat voor organisaties, die persoonsgegevens verwerken en/of bezitten, een aantal zaken drastisch veranderen. Zo ook voor de gemeente Stein, waar ik als CISO/ Adviseur Privacy inmiddels al een aantal jaren dagelijks actief ben op het vlak van informatieveiligheid en Privacy.

 

Een omvangrijke klus

Het implementeren van de AVG is een omvangrijke klus. Een klus waar de gemeente Stein al sinds 2016 de handen voor uit de mouwen steekt. De invoering van de AVG brengt ten opzichte van de Wet bescherming persoonsgegevens (Wbp) immers grote en belangrijke veranderingen met zich mee. En daarbij natuurlijk ook een uitdaging: want hoe zorg je ervoor dat privacy in lijn met informatiebeveiliging een vast onderdeel wordt van ieders handelen?

 

Stap voor stap

We hanteren een strakke procesmatige aanpak om privacy conform de AVG te implementeren en te gaan borgen binnen de gemeente Stein. Naast de te nemen ‘harde’ stappen, implementatie en borging van nieuwe maatregelen binnen bestaande processen, is de ‘zachte’ stap minstens zo belangrijk: ‘het bewerkstelligen van bewustwording en commitment rondom het thema privacy. We zijn begonnen bij het begin: één van de eerste vragen die je je als gemeente stelt is: ‘wat verstaan we eigenlijk onder privacy?’. En ook: ‘wat is de impact van de AVG op de gemeente Stein?’, ‘wat hebben we al gedaan op het vlak van privacy?’ en ‘welke stappen moeten we nog gaan nemen?’. Over deze vragen is nagedacht door de kerngroep Privacy, het Management Team en het bestuur.

 

Om de privacyrisico’s in kaart te brengen hebben de kerngroep Privacy, het Management Team, het College en de Raad, een Organisatie Privacy Impact Assesment (PIA) uitgevoerd. In de PIA is vastgesteld hoe het met de privacy binnen onze gemeente gesteld is en welke maatregelen en acties hieraan nog verbonden moeten worden, om uiteindelijk aan de AVG te kunnen voldoen. De uitkomsten van de PIA zijn vervolgens gebruikt om een privacy-beleidskader op te stellen en vast te stellen. Om zo uiteindelijk tot een implementatieplan te komen.

 

Uitdaging

Het zal duidelijk zijn; de implementatie van de AVG brengt uitdagingen met zich mee. Niet in de laatste plaats, omdat het mensen zijn die uiteindelijk de processen uitvoeren. En je kunt nog zoveel vastleggen, uiteindelijk moet het niet alleen in het hoofd, maar ook in het hart van je medewerkers zitten om informatieveilig en privacygericht gedrag te vertonen. De invoering van de AVG is daarom ook onlosmakelijk verbonden aan het binnen onze gemeente al veel langer lopende bewustwordingstraject op het vlak van informatieveiligheid. We noemen het ook doelbewust een traject. Je kunt immers van je medewerkers niet verlangen dat ze van de ene op de andere dag het onderwerp veiligheid op al haar facetten tussen de oren hebben zitten. Digitalisering is zo snel gegaan in onze samenleving dat de menskant ervan nog alle aandacht nodig heeft om bij te benen. Maar we zijn bij de gemeente Stein zeker op de goede weg. Over de bewustwordingscampagne die ingezet is bij de gemeente Stein schreef ik overigens al eerder een blog, deze vind je hier. Wat ik toen niet noemde maar wat zeker ook onderdeel is van het bewustwordingstraject, is het organiseren van workshops en het geven van presentaties; dit zullen we in de nabije toekomst dan ook zeker gaan uitvoeren bij de gemeente Stein. Want ervaring leert dat juist de actieve dialoog en het delen van kennis helpt in dit soort bewustwordingstrajecten.

 

Ben jij, als gemeente, ook bezig met de implementatie van de AVG? Dan geef ik je nog graag enkele tips, die ik op heb gedaan bij onze gemeente:

  1. Alleen procesmatig een AVG invoeren aan de ‘harde’ kant (maatregelen) gaat niet het echte succes brengen. Het is van groot belang dat je bewustwording en commitment creëert bij de medewerkers rondom het thema informatieveiligheid en privacy. Zeker ook in samenwerking met o.a. het bestuur, het Management Team, de ambtelijke organisatie en ketenpartners. Want goed voorbeeld doet ook hier volgen.
  2. Borg de onderwerpen informatiebeveiliging en privacy altijd via een PIT. Programmatisch aanvliegen van het thema helpt enorm.
  3. Stel altijd een privacy-beleidskader en een implementatieplan privacy op. Neem hiervoor ruim de tijd en zorg voor voldoende capaciteit en financiële middelen.

 

Ik ben benieuwd of er nog meer tips toe te voegen zijn aan mijn lijstje; ik ben dan ook benieuwd naar de reacties van andere CISO’s en/of Adviseurs op privacy vlak bij collega-gemeenten maar ook bij private organisaties. Kunnen jullie nog iets toevoegen aan onze aanpak bij de gemeente Stein?