KENNISPARTNER VNG REALISATIE Samenwerken aan privacy Een DPIA in je gemeente uitvoeren kan complex zijn en veel tijd kosten. Met een nieuwe Handreiking komt de Informatiebeveiligingsdienst (IBD) professionals tegemoet. Wat nog beter helpt, is om kennis te delen en ervaringen uit te wisselen met andere gemeenten. ‘We kunnen nog veel van elkaar leren.’ inds 2018 is elke gemeente die persoonsgegevens verwerkt verplicht om een Data Protection Impact Assessment (DPIA) uit te voeren. Dat is een belangrijk plicht, stelt Ester Weststeijn, burgemeester van Rozendaal en lid van de IBD Adviesraad en de VNG-commissie Informatiesamenleving. “Inwoners vertrouwen ons hun persoonsgegevens toe, zodat wij hen de juiste ondersteuning kunnen bieden, denk aan de jeugdzorg. Of bijvoorbeeld wanneer we besluiten cameratoezicht in te zetten in de openbare ruimte. In veel van deze processen delen we bovendien gegevens met partners. De DPIA is een goede – en bovendien soms verplichte – manier om vooraf te borgen dat we dat goed doen. Zo’n ‘gegevensbeschermingseffectbeoordeling’ helpt ons vooraf risico’s te benoemen en maatregelen te nemen.” S Hoe geef je het vorm? Het uitvoeren van een DPIA wordt echter nog niet overal met evenveel enthousiasme ontvangen. Hoe geef je het vorm? Vaak is het nog een extra taak erbij op de toch al overvolle workload van ambtenaren. Dat zag Sylvia Meinders, functionaris voor gegevensbescherming (FG), toen ze twee jaar geleden in Enschede kwam werken. De gemeente had in 2022 vijf DPIA’s gestart, en er één afgerond. “Ik zag de privacy officers er enorm mee worstelen, omdat ze het hele DPIA-traject van A tot Z op hun schouders namen. In het verwerkingsregister van Enschede stonden 900 verwerkingen. Bij een groot deel ervan worden persoonsgegevens gebruikt. Rekenend dat je minimaal één keer in de drie jaar een DPIA moet herhalen, kwam ik tot 100 tot 150 DPIA’s per jaar. We moesten het gestructureerder en pragmatischer gaan aanpakken. Anders krijg je er nooit meer controle over.” Vertrouwen in de overheid Meinders bedacht wat er allemaal moest gebeuren om het proces te veranderen en schreef een memo met aanbevelingen aan de gemeentesecretaris. “Eigenlijk is een DPIA niet meer dan een risico-inventarisatie op het gebied van bescherming van persoonsgegevens. Dat kun je niet alleen overlaten aan de privacy officer. Omdat de DPIA zo complex is om uit te voeren heb je echt inhoudelijke deskundigen nodig, denk aan applicatiebeheerders, kwaliteitsmedewerkers en vakinhoudelijke deskundigen. Juist zij weten vaak het beste waar de risico’s liggen.” Een goede DPIA kan dan ook alleen maar tot stand komen wanneer alle betrokken partijen samenwerken, vult Weststeijn aan. “Naast de procesverantwoordelijke, zijn dat ook de PO, FG, CIO, CISO en de verwerker, maar liefst ook degenen van wie de privacy moet worden beschermd. Dat is niet eenvoudig, maar absoluut noodzakelijk wanneer we werken met stelselmatige monitoring, op grote schaal gegevens verwerken of innovatieve nieuwe technologische oplossingen willen inzetten. Dat ondersteunt het vertrouwen van inwoners in de overheid.” Aanbevelingen Andere aanbevelingen van Meinders zijn dan ook meer te investeren in de kennis 94 iBestuur 52, oktober 2024
95 Online Touch Kennispartner Home