BINNENLANDS BESTUUR - WEEK 21 | 2021 SPECIAL 35 zijn over de belastingen. We leggen uit hoe we ermee werken, om te laten zien dat we wel degelijk fatsoenlijk met het geld van de burger omgaan. Voor de privacy geldt hetzelfde: fatsoen!’ heid. Als je goed zorgt voor de burger, zorg je ook goed voor zijn persoonsgegevens.’ DUBBELE PET Toch blijven veel gemeenten worstelen met de AVG. De nieuwe wetgeving stelt duidelijke regels, maar in veel gemeentelijke organisaties heerst het gevoel dat ze de beweegruimte van de gemeente beperken. Mag je nog wel overleggen met externe organisaties over specifieke zorgbehoevende burgers? Of met corporaties over overlastgevende inwoners? Die worsteling ziet Wilmar Hendriks, bestuurder van de stichting Privacy First, ook. ‘In veel organisaties, ook in de gemeentelijke organisatie, willen mensen gewoon hun taak goed en efficiënt uitvoeren. Als ze dan ineens worden geconfronteerd met de AVG, dan kost dat veel extra moeite. Dat wordt opgevat als tegenstrijdige regelgeving, maar dat is de verkeerde benadering. Uiteindelijk gaat het om bewustwording: we zijn er in de loop van de jaren aan gewend geraakt dat we naar de burger transparant Dat vergt een andere manier van denken over het inrichten van processen. Zowel Verdier als Hendriks wijzen erop dat bij het introduceren van nieuwe werkwijzen, tools en functies in de gemeentelijke gegevensverwerking vaak pas achteraf wordt nagedacht over de privacywetgeving. Maar ‘privacy by design’ moet het uitgangspunt worden. Hendriks: ‘Het zorgvuldig omgaan met persoonsgegevens hoeft de efficiency helemaal niet in de weg te zitten. We hebben een gemeente geholpen met het trainen van leerplichtambtenaren om het invoeren van gegevens te beperken tot het strikt noodzakelijke. Uiteindelijk bleek dat het 10 procent van hun werktijd scheelde.’ Maar om te bepalen of, en op welke manier, persoonsgegevens kunnen worden gebruikt, moet de onafhankelijke Functionaris Gegevensbescherming (FG) een centrale rol hebben in de organisatie. Verdier: ‘Uiteindelijk zijn wij als autoriteit geen vraagbaak voor de gemeente. De FG moet intern toezicht houden op de naleving van de AVG. Maar dat betekent wel dat die in de juiste positie moet zijn om dat toezicht uit te oefenen, met rechtstreekse toegang tot het gemeentebestuur en de gemeentesecretaris.’ Aan die onafhankelijke positie schort het vaak. FG’s hebben vaker, naast hun toezichthoudende rol, nog een andere functie in de gemeente. Die dubbele pet is niet wenselijk, vindt de AP, omdat dat de onafhankelijkheid bedreigt. Ook woordvoerder Remco Groet van de Informatiebeveiligingsdienst voor gemeenten (IBD) merkt dat de positie van de FG in veel gemeenten moeilijk ligt. ‘Veel FG’s hebben naast hun rol als toezichthouder nog andere verplichtingen. Regelmatig moeten ze ook uitvoerende taken verrichten, of wordt hun taak door anderen opgevat als: ‘regel jij de privacy even’. Die verschillende petten maken het moeilijk om als onafhankelijke toezichthouder te werken.’ PERSOONLIJKE INFORMATIE Volgens Verdier moeten gemeenten zich er extra bewust van zijn dat ze met gevoelige gegevens werken. ‘Bij een bedrijf kun je kiezen of je er zaken mee doet, en of je persoonlijke informatie met ze deelt. Maar bij een gemeente heeft een inwoner die keuze niet. Het gaat er niet alleen om of je voldoet aan de AVG, het gaat ook om het besef dat privacy belangrijk is, dat werkprocessen worden bedacht met gegevensbescherming in ieders hoofd en dat er binnen de organisatie onafhankelijk toezicht is. Bescherming van persoonsgegevens hoort een belangrijk uitgangspunt van de organisatie te zijn, en de FG moet dat blijven toetsen en in een vroeg stadium betrokken worden. Als de Autoriteit Persoonsgegevens als toezichthouder moet optreden, ben je eigenlijk al een station te ver.’
36 Online Touch Home