Aftellen naar de AVG!

Over ruim een jaar is de AVG van kracht. Ik merk aan alle kanten dat er hard wordt gewerkt. Ook in onze gemeente zijn we bezig privacy nog steviger neer te zetten. Het beleid ligt er, nu de implementatie nog. En dat is makkelijker gezegd dan gedaan, want het is zo breed: variërend van alle interne bedrijfsprocessen, personeelszaken, het sociaal domein, veiligheid, vergunningen, belastingen. 

En al die verwerkingen moeten in een register komen. Het register dat ik beheer voor onze gemeente omvat nu ruim 150 verwerkingen. Ik ben er nu met een stofkam doorheen aan het gaan, zodat het straks helemaal AVG proof is. Een enorme klus, omdat ik voor de inhoud van het register weer informatie nodig heb van de proceseigenaar. Ik moet dus bijna 150 verschillende collega’s raadplegen voor ik het register op orde heb. Ook wel leuk om te doen, want ik leer ook iedere keer weer bij en ben inmiddels behoorlijk goed op de hoogte van wat onze gemeente allemaal doet.

Ik zie de laatste tijd veel stappenplannen, lijstjes en plannen van aanpak langskomen. Van collega’s van andere gemeenten, van ministeries, van commerciële partijen, en – eindelijk – van de AP.  Hierbij valt het mij op dat elke organisatie zijn eigen plan trekt en dat hierbij nauwelijks sprake is van een centraal gecoördineerde actie. Wat ik jammer vind, want iedereen zit hetzelfde werk te doen. Ook ministeries overleggen niet onderling. Als gemeenten al overleggen is het vaak met buurgemeenten. VNG/KING is achter de schermen wel druk bezig en heeft behoorlijk goed door waar behoefte aan is en komen in de loop van het jaar met een aantal producten. Ik hoop nog op tijd, want ik ga in ieder geval aan de slag (en een heleboel anderen met mij).

En toen was daar de AP met het 10-stappenplan! ‘Yes’ dacht ik, toen ik het nieuwsbericht zag op de site. ‘Jammer’ dacht ik, toen ik het had gelezen. Tien open deuren en weinig concreets. Alle tien de actiepunten stonden al op mijn lijst. Ik hoopte op een concretisering. Bijvoorbeeld, over het al dan niet doen van een PIA. Ik ben al een tijd aan het bedenken hoe wij moeten beoordelen of een verwerking ‘waarschijnlijk een hoog risico’ inhoudt. Ik hoopte dus op een nadere invulling van dit criterium (of de lijst zoals de AVG voorschrijft in artikel 35 lid 4). Maar wat zegt de AP hierover in het 10-stappenplan:

“U moet een PIA uitvoeren als uw beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt. U kunt nu alvast inschatten of u straks PIA’s moet uitvoeren en hoe u dit dan gaat aanpakken. Komt straks uit een PIA naar voren dat uw beoogde verwerking een hoog risico oplevert? …”

Tja, hier heb ik dus weinig aan. In de AVG wordt wel een nadere uitleg gegeven over wanneer een PIA in ieder geval is vereist, maar ook dat zijn open normen. Wat wordt bedoeld met een ‘grootschalige verwerking’? Moeten kleine gemeenten geen PIA uitvoeren, maar grotere wel? De AP geeft hier dus ook (nog) geen invulling aan en laat de beoordeling van de ‘waarschijnlijkheid’ aan de organisatie zelf. Ik blijf er dus nog even over nadenken, al heb ik wel een plan klaarliggen. Als ik dat heb uitgewerkt zal ik daar een keer over schrijven. Als dat nog nodig is.