AVG verhoogt werkdruk

Sinds de AVG eind mei in werking trad, gelden er strengere regels voor het beschermen van gegevens. Uit een enquête van Binnenlands Bestuur blijkt dat de helft van de ambtenaren veranderingen heeft doorgevoerd in de eigen werkwijze. Vaak met méér werk tot gevolg.

Onderzoek onder ambtenaren

Verspreid over het gehele gemeentehuis zullen ambtenaren een steentje moeten bijdragen om met de organisatie aan de nieuwe Europese privacy-eisen te voldoen. Sinds de Algemene Verordening Gegevensbescherming (AVG) van kracht is, geeft ongeveer de helft van de ambtenaren aan dat ze hun werkwijze hebben aangepast. Die wijzigingen kunnen behoorlijk ingrijpend zijn voor de dagelijkse routine. Diverse ambtenaren meldden in een toelichting dat de wijzigingen met name met het e-mailverkeer te maken hebben.

Ze schrappen nu bijvoorbeeld persoonsgegevens, zoals namen en adressen, uit e-mails. Ze versturen bestanden voortaan in een beveiligde omgeving en stellen bewerkersovereenkomsten op voor zaken waarvoor ze dit eerst niet deden. Veel ambtenaren pasten daarnaast ook de bewaartermijnen in hun documenten aan. Door diverse ondervraagde ambtenaren wordt gesproken over een ‘toegenomen bewustzijn’ bij het delen van gegevens met externe contacten.

Die veranderingen hebben ook hun keerzijde. Wanneer de ambtenaren wordt gevraagd naar problemen als gevolg van de inwerkingtreding van de AVG, benoemen ze de toegenomen werkdruk. De nieuwe wetgeving leidt tot omslachtiger processen. Ze merken dat het met elkaar in contact brengen van mensen lastiger wordt, omdat e-mailadressen niet zomaar meer mogen worden verstrekt.

Verantwoordingsplicht
‘Even snel e-mailen is er vaak niet meer bij’, stelt ook Fatou Tevette, als advoaat verbonden aan Capra en gespecialiseerd in onder meer ambtenarenrecht en algemeen bestuursrecht. Zij ziet dat als gevolg van de verantwoordingsplicht die bij de AVG hoort. ‘Persoonsgegevens moeten aantoonbaar in overeenstemming met de AVG en de Uitvoeringswet AVG worden verwerkt. Ambtenaren moeten controleren welke gegevens zij ontvangen, opslaan en doorgeven. En of ze daarbij wel volgens de nieuwe privacyregels handelen.’

Lokale overheden vragen burgers nu nog vaak om toestemming voor verwerking van gegevens, maar dit is volgens Tevette niet altijd voldoende grondslag voor de Autoriteit Persoonsgegevens (AP). Dit betekent dat de gemeenten ook bij informatie die burgers zelf toesturen, moeten controleren of die wel mag worden verwerkt. ‘Dat is soms problematisch als het bijvoorbeeld gezondheids gegevens van mensen betreft.’

Tevette noemt het sociaal domein als onderdeel waar de AVG kan gaan knellen. ‘De Wmo, de Jeugdwet, en de Wet gemeentelijke schuldhulpverlening geven afzonderlijke regels over het verwerken van persoonsgegevens. In die wetten is het delen van gegevens tussen verschillende gemeentelijke afdelingen, om zo integrale hulp en ondersteuning over de wetten heen te kunnen bieden, echter niet geregeld. Dit is al jaren een aandachtspunt, maar dat gaat nu nóg meer knellen. De VNG heeft dit probleem onlangs aangekaart bij de Tweede Kamer.’

Kaartje
Logisch dus dat lang niet alle ambtenaren de nieuwe AVG toejuichen. ‘Niet altijd even zinvolle bureaucratie’, schrijft een ambtenaar. Een ander zegt dat de overheid aan het doorslaan is. ‘Zelfs van zieke collega’s mag je geen adres verstrekken om een kaartje te sturen.’ Ook leiden de genomen mailmaatregelen tot problemen. ‘Bedrijven geven aan de mails niet te kunnen openen. Dit levert soms ingewikkelde problemen op in de uitvoering van het werk.’ Dat zorgt dat de AVG niet alleen gemeenten meer tijd kost, maar dat die ook hun klanten meer werk bezorgt. Ook de beveiliging van databestanden gaat niet altijd goed. Met name bij bestanden en persoonsgegevens die opgeslagen zijn via Mailchimp of Dropbox.

De VNG zegt zich in een reactie geen zorgen te maken over de toegenomen werkdruk die de AVG met zich meebrengt voor ambtenaren, zo geeft een woordvoerder aan. ‘De AVG vraagt om een andere benadering van het werken met persoonsgegevens. Dat is een regulier onderdeel van de dienstverlening en leidt mogelijk tot aanpassingen in de gemeentelijke processen.’

Wel constateert de VNG dat er knelpunten zitten in de uitwisseling van gegevens. ‘Om inwoners goed van dienst te kunnen zijn, wordt veel samengewerkt met andere partijen. Onder meer in de zorg, en bij werk en inkomen. Het is zaak dat de verwerking in de gehele keten goed is geborgd, een keten is immers zo sterk als de zwakste schakel.’ VNG Realisatie is een model aan het ontwerpen gebaseerd op de privacy-aanpak van de gemeente Leidschendam-Voorburg. De verwachting is dat dit eind juni beschikbaar is voor andere gemeenten.

Weinig kennis
Behalve de toegenomen werkdruk kunnen er ook andere problemen door de AVG ontstaan. Ambtenaren vrezen dat ze te weinig kennis hebben over de AVG. Slechts vier op de tien ambtenaren en bestuurders zegt ‘ja’ op de vraag of het goed lukt om vragen van burgers en bedrijven te beantwoorden. Een aantal ambtenaren en bestuurders geeft aan zelf niet goed op de hoogte te zijn van de regelgeving. Anderen stellen onder meer dat ‘het applicatielandschap te groot en te complex is’ om op alle vragen een antwoord te hebben. Diverse ambtenaren melden dat zij vragen doorsturen naar de functionaris voor de gegevensbescherming.

Tot slot is er een fors aantal ambtenaren en bestuurders dat hun organisatie géén goed voorbeeld vindt voor bedrijven op gebied van de uitvoering van de AVG, terwijl dit wél het geval zou moeten zijn. Ook spelen er nog – mogelijke – ethische dilemma’s op de werkvloer. In een onderzoek van IT-platform AG Connect bleken de meeste IT’ers te verwachten hiermee te maken te krijgen. Het zijn dilemma’s die ongetwijfeld ook in gemeentehuizen spelen: meld ik een datalek wel of niet? En: moet ik het aankaarten als het eigen computersysteem niet afdoende is beveiligd?

Ook belastingdienst nog lang niet klaar
Gemeenteambtenaren geven aan Binnenlands Bestuur uiteenlopende antwoorden op de vraag of hun organisatie de deadline van 25 mei heeft gehaald: 42 procent zegt dat hun afdeling in de organisatie op het moment suprême voldeed aan alle nieuwe eisen van de privacywetgeving. Degenen die stelden dat hun afdeling er nog niet aan voldoet, meldden ook hoe lang er nog nodig is om er uiteindelijk wél aan te voldoen. Het merendeel komt hierbij tot een tijdsbestek variërend van drie tot zes maanden.

De overheid heeft dan wel een voorbeeldfunctie, maar zelfs grote overheidsorganisaties als de Belastingdienst blijken nog niet aan de AVG te voldoen. Uit antwoorden op Kamervragen van Pieter Omtzigt (CDA) schrijft staatssecretaris Menno Snel dat de Belastingdienst enkele gegevensverwerkingen voert waarvan de wettelijke grondslag onvoldoende is of waarvan de grondslag ter discussie staat. Ook is er nog verbetering nodig voor een aantal applicaties op gebied van dataminimalisatie en autorisatie. Hierover gaat de Belastingdienst eind juni in gesprek met de Autoriteit Persoonsgegevens.

De Belastingdienst heeft zichzelf als doel gesteld om, vanaf 25 mei, binnen een jaar alsnog te voldoen aan de AVG. ‘Een aantal maatregelen moet nog uitgevoerd worden’, schrijft Snel. ‘Op het moment dat de nu voorziene maatregelen gerealiseerd zijn, kan gezegd worden dat de Belastingdienst voldoet aan de AVG. Het streven is deze situatie binnen een jaar te bereiken.’

Controle op lokale waakhond
De Autoriteit Persoonsgegevens (AP) heeft in de eerste weken vierhonderd overheidsorganisaties, waaronder gemeenten, provincies en waterschappen, gecontroleerd op het aanstellen van een functionaris voor de gegevensbescherming (FG). Hieruit bleek dat de meeste organisaties inmiddels voldoen aan de eis om een FG te hebben. De organisaties moesten deze voor 25 mei hebben aangemeld bij de AP. Uit de controle werd duidelijk dat minder dan 4 procent van de overheidsorganisaties mogelijk nog geen functionaris heeft aangemeld. Deze organisaties heeft de AP aangeschreven. Wanneer zij dit na 11 juni nog niet gemeld hebben, kan er een sanctie volgen.