AVG: de klok tikt

Het is druk. Heel druk. De privacy-motor draait overal op volle toeren. In de meeste gemeenten is er inmiddels wel iemand aangesteld die zich met het privacyvraagstuk bezighoudt. Er ontstaan mooie en goede ideeën. Er moet een heleboel invulling gegeven worden aan de open normen van de oude en vooral de nieuwe wetgeving. 

Waar de Autoriteit Persoonsgegevens soms achterblijft met richtsnoeren, zie ik om mij heen dat veel knappe koppen zelf iets bedenken. Wanneer moet bijvoorbeeld een PIA worden uitgevoerd? Wanneer is een verwerking grootschalig? Hoe richt ik de control in voor privacy? Sluit ik aan bij de ontwikkelingen van ENSIA? Hoe beleg ik verantwoordelijkheden?

Waar ik eerst merkte dat de nadruk lag op privacy in het sociaal domein, zie ik nu veel discussie ontstaan op het gebied van privacy governance. Dat is natuurlijk ook wel logisch want over ongeveer 8 maanden moeten een aantal processen staan. Wij zijn nu bijvoorbeeld druk bezig achter de schermen om het inzageproces vorm te geven. Dat op zichzelf zou wel een studie waardig zijn. Moet een inzageverzoek achter een DigiD? Hoe kleed ik het proces zo in, dat de identiteit van degene die het verzoek doet voldoende te verifiëren is? En waar moet het inzageverzoek precies aan voldoen?

Een heleboel onbeantwoorde vragen die overal bovenkomen waar iedereen een antwoord op zoekt. Gelukkig zijn veel collega’s bereid hun kennis te delen. Ook de VNG/KING levert maandelijks een nieuw product op. Zo is bijvoorbeeld een standaard register van verwerkingen ontwikkeld. Ik moet eerlijk zeggen dat ik het een vrij ingewikkeld register vond, met name door de referentiecomponenten die verwijzen naar de GEMMA architectuur. Allemaal voor mij nieuwe begrippen. Ik heb mijn kennis inmiddels door onze IT afdeling laten bijspijkeren en begrijp nu dat er een slimme gedachte achter zit. Elke verwerking verwijst naar een referentiecomponent (ik spreek liever over een proces), waardoor je vrij makkelijk kan achterhalen welke applicatie de gemeente hiervoor gebruikt en welke risico-classificatie erbij hoort.

En die FG? Is die al aangesteld? De meeste gemeenten maken bij de aanstelling van de FG toch wel onderscheid tussen de ‘echte’ toezichttaken en de uitvoeringstaken. Ik heb zelf een excel-sheet gemaakt (ja ze bestaan, juristen met spreadsheets) waar ik systematisch de wettelijke taken en de wettelijke bevoegdheden in heb gezet. Dit was het makkelijke gedeelte. Daarna heb ik dit overzicht aangevuld met andere taken die moeten worden uitgevoerd. Wie houdt bijvoorbeeld het register van verwerkingen bij.

Dat is een taak van de verantwoordelijke, maar iemand moet het daadwerkelijk doen. Doet de FG dit, of is er een andere gelukkige? Wie voert de PIA uit? Het is de taak van de FG om te adviseren over de PIA, maar wie doet daadwerkelijk de PIA?

Uiteindelijk leverde dit één handig overzicht op, waar P&O mee aan de slag kan voor een functieomschrijving en waar directie en management keuzes mee kunnen maken. Belangrijkste eye-opener, ook voor mij, waren de kruisjes die ik had gezet achter elke taak. De kruisjes stonden bij de functies die nodig zijn voor het uitoefenen van die taak. Achter bijna elke taak stond de kolom: ‘collega’s van de vakafdeling’ aangekruist. Want privacy doe je niet alleen. Alle neuzen moeten dezelfde kant op.

Wolfje Mijnders

Eerder verschenen columns zijn hier te vinden.