Tijdens het door Privacyweb georganiseerde seminar Privacy en de gemeente op 12 december 2019 vertelden zes sprekers over de verwerking van persoonsgegevens binnen de gemeente. Deelnemers aan het seminar werden bijgepraat over actuele ontwikkelingen, gingen met elkaar in gesprek over de dilemma’s waar men in de praktijk tegenaan loopt en kregen tal van adviezen om mee aan de slag te gaan binnen de eigen organisatie. Zes lessen over privacy binnen de gemeente naar aanleiding van het seminar.
Auteur: Haas, Anna de
“Privacybewustzijn is een cultuur” stelt Myla de Vries-Hoogerwerff, Privacy officer en trainer bij de gemeente Amsterdam. Om te zorgen dat iedereen binnen de gemeente van de juiste regels en werkwijzen op de hoogte is en blijft, is herhaling van ongekend belang. Door het geven van interactieve en ‘speelse’ trainingen zorg je dat de hele organisatie bewuster omgaat met privacy.
Elza ’t Hart en Bastiaan Wallage van advocatenkantoor Van Benthem & Keulen namen tijdens het seminar alle belangrijke begrippen en juridische kaders uit de Algemene verordening gegevensbescherming (AVG) door. Eens te meer kwam naar voren hoe belangrijk zorgvuldigheid is bij het verwerken van gegevens binnen de gemeente. Het gaat tenslotte vaak om gegevens van kwetsbare mensen en misbruik moet worden voorkomen. Vaak gebruiken gemeenten toestemming als grondslag voor het verwerken van gegevens, maar de AVG stelt hoge eisen aan die toestemming: “Toestemming voor verwerking van persoonsgegevens buiten het schot van de materiewet met oog op uitvoeren regietaak door gemeente kan niet indien betrokkenen afhankelijk zijn van de gemeente voor hulp.’ Er is geen goede grondslag om die regierol uit te voeren. Na jaren van problematiek en kritiek heeft de wetgever in september uiteindelijk aangekondigd dat er een wetswijziging komt om te zorgen dat gemeente een grondslag hebben om die regierol uit te kunnen voeren.
Het is belangrijk om als Functionaris gegevensbescherming (FG) binnen de gemeente overzicht te krijgen en die te behouden. De werkprocessen moeten door de FG worden verantwoord, maar hoe? Erika Steenbrink weet als FG bij de gemeenten Ede, Rhenen en Wageningen als geen ander hoe het is om voor privacydilemma’s te staan. Voor haar eigen gemeente maakte ze template met haar bevindingen en ontwikkelde ze een AVG toets. Naast het monitoren van de werkwijze aan de hand van verschillende AVG-vereisten en -criteria kan zij haar rol vanuit deze basis doorontwikkelen en zich daar waar nodig verdiepen.
Het is belangrijk om als gemeente duidelijk te hebben wanneer gegevens persoonsgegevens zijn en welke grondslagen er bestaan om deze gegevens te verzamelen. Wat mag er precies worden verzameld, met wie mag je dat delen hoe noodzakelijk is de verwerking? Er moet sprake zijn van doelbinding: het gebruik van de persoonsgegevens die je als gemeente verzamelt moet verenigbaar zijn met het doel zoals omschreven in de AVG. Het is niet de bedoeling dat de reeds verzamelde gegevens vervolgens zomaar voor andere doeleinden worden gebruikt. De gemeente moet bij de vraag of iets verenigbaar is naar verschillende factoren kijken: wat is de aard van de gegevens, in welk kader zijn de gegevens verzameld, wat zijn de gevolgen van de verstrekking, kan de privacy worden gewaarborgd door bijvoorbeeld gegevens te anonimiseren en wat zijn de verwachtingen van de betrokkenen?
De vraag wie de verwerkingsverantwoordelijke is, kan erg complex zijn voor gemeenten. Aan de hand van recente jurisprudentie liet advocaat Martin Hemmer van advocatenkantoor AKD zien dat partijen steeds vaker verantwoordelijk worden gehouden voor de verwerking van gegevens. In de praktijk betekent dat voor gemeente dat het belangrijk is om duidelijke afspraken te maken. Partijen moeten als er sprake is van gedeelde verantwoordelijkheid een verwerkingsovereenkomst vastleggen overeenkomstig art. 26 van de AVG.
Verandering kost tijd. Nasim Ahmadi, Chief information security officer (CISO) bij de gemeenten Amstelveen en Aalsmeer zag na vier jaar eindelijk de pay-off op gebied van de afbakening van rollen en verantwoordelijkheden. Ook PO Myla de Vries-Hoogerwerff stelt dat een cultuurverandering niet van de ene op de andere dag mogelijk is. Waarom is iets wat gisteren nog goed was, nu opeens verkeerd? Je moet de hele organisatie kunnen meenemen in het denkproces. Dat proces kost tijd en energie. Het vergt een lange adem.
Dit artikel is ook te vinden in het dossier Privacy in het sociaal domein
