De naleving en verantwoordingsplicht van de AVG zijn niet overal even strak geregeld. Veel Nederlandse gemeenten hebben er een jaar na dato nog steeds moeite mee. Dat blijkt uit onderzoek.
Meer dan de helft (187) van de Nederlandse gemeenten deed mee aan het onderzoek van Mind Your Step. Een van de conclusies is dat er in de periode voor de ingang van de wet te weinig voorbereiding was. Dit leidde tot achterstanden bij de implementatie. Nu, een jaar na ingang van de wet, komt de naleving langzaam op gang.
Lange weg
De resultaten schetsen een wisselend beeld onder gemeenten. Er lijkt nog een lange weg te gaan op privacyvlak, al is er ook positief nieuws te melden.
De prioriteitendruk die het gemeentelijk speelveld al een aantal jaren kenmerkt, is in 2018 door de AVG verder verzwaard. Met daarbij de expliciete opdracht aan gemeenten om aan de verantwoordingsverplichting te voldoen en nadruk te leggen op bewustwording onder medewerkers.
Hieraan is zeker deels gehoor gegeven. Zo hadden nagenoeg alle gemeenten een Functionaris Gegevensbescherming (FG) aangesteld en/of een verwerkingsregister opgesteld. Vaak was dat nog voor de AVG van toepassing werd. Het kleine aantal gemeenten dat dit niet tijdig regelde, liep helaas gelijk achter de feiten aan.
Datalekken
Opmerkelijk is wel dat zo’n 86% van alle gemeenten nog een datalekkenregister heeft opgesteld nét voor de komst van de AVG. Dit terwijl een datalekkenregister al een gemeentelijke
verplichting was onder de vorige privacywetgeving, de Wet bescherming persoonsgegevens (Wbp).
Dit laat helaas zien dat de handhaving op de Wbp op een laag pitje stond. En dat gemeenten hier hun prioritering op hadden aangepast. Maar nu is de verantwoordingsplicht maximaal van kracht.
Aantoonbare verantwoording
De verantwoordingsplicht vanbde AVG en de controle van de Autoriteit Persoonsgegevens (AP) heeft een grote impact op het reilen en zeilen van gemeenten. Naast het feit dat gemeenten de AVG moeten naleven, moeten zij de naleving ook aantoonbaar kunnen verantwoorden. En dat betekent extra werk voor gemeenten. Dit is meer verantwoordelijkheden op het gebied van zelfevaluaties en audits en meer toezicht op gegevensverwerkingen. Verder moet er ook meer aandacht komen voor de rechten van betrokkenen.
Risico-analyse
Daarnaast zijn Data Protection Impact Assessments (DPIA’s) een belangrijkere rol gaan spelen. Een DPIA is een risicoanalyse van een gegevensverwerking. Daarbij wordt geanalyseerd welke grondslagen en doeleinden er nodig of aanwezig zijn en welke risico’s en gevolgen de verwerking met zich meebrengt.
Daarbij heeft een FG een toezichthoudende en adviserende rol. Deze medewerker dient dus alle ruimte te krijgen van het management om de naleving te controleren. Daarnaast heeft de FG als taak om medewerkers kennis bij te brengen, verantwoordelijkheden toe te dichten of bewust te maken van de AVG.
Een jaar na invoering van de AVG laat de gemeentelijke praktijk echter zien dat de FG veelal pas geraadpleegd wordt als het al te laat is en vaak controles achteraf uitvoert in plaats van proactief vooruit te managen.
Het onderzoek laat ook positieve beweging zien. Het afgelopen jaar heeft het creëren van bewustzijn bij de gemeentelijke medewerkers veel aandacht gekregen. Uit het onderzoek blijkt dat gemeenten de bewustwording van de medewerkers als de sleutel tot succes zien voor een geslaagde implementatie en naleving van de AVG.
Dit gaat ook op voor de aantoonbare verantwoording. Een bewuste medewerker is namelijk alerter én zorgvuldiger, waardoor misstappen op het vlak van informatieveiligheid en privacy, zoals datalekken, kunnen worden voorkomen. Het doel van bewustwording is ook het creëren van draagvlak binnen gemeenten.
Toewijding
De houding en toewijding van gemeenten als organisatie blijkt echter ver achter te blijven op het bewustzijn van de medewerkers. Dit heeft verschillende redenen. Allereerst zijn de verantwoordelijkheden nog hoog in de organisatie belegd, terwijl het lager beleggen van verantwoordelijkheden veel sneller zal zorgen voor een andere (positieve) houding bij het lijnmanagement.
Ten tweede is het veranderen van de houding van de hele organisatie iets dat tijd vergt. De belangrijkste conclusie uit het onderzoek is dan ook dat het privacybewustzijn van zowel medewerkers als het management binnen gemeenten periodiek en regelmatig gecontroleerd én aangewakkerd moet worden.
Het is een continu proces en geen eenmalige exercitie. Een belangrijk leerpunt dat ook in de komende jaren de sleutel tot succes is bij aantoonbare verantwoording op de verplichtingen die de AVG stelt.
