Alles op slot

Europa legt gemeenten binnenkort strengere regels op ter bescherming van de privacy van burgers. In Zaanstad en de Brabantse Kempen wordt er op ­geanticipeerd. ‘Veel zaken zijn niet meer toegankelijk voor onbevoegden, maar dat kunnen ook je directe collega’s zijn.’

Dossiers die opengeslagen op tafel liggen, wifi-wachtwoorden op het prikbord, collega’s die inloggegevens met elkaar delen. Bij veel gemeenten moet nog een slag worden gemaakt om te kunnen voldoen aan de nieuwe, strengere Europese privacyreglementen voor publieke organisaties, zo stelde privacy-specialist Marieke Thijssen van advocatenkantoor Hekkelman vorig jaar in Binnenlands Bestuur. Zeker nu die Europese regels vermoedelijk al in 2018 in werking treden. 

In Zaanstad is men er dan ook al volop mee bezig. Ter voorbereiding op de nieuwe verordening heeft de gemeente een jurist met specialistische kennis ingeschakeld die de organisatie duidelijkheid moet verschaffen over de nieuwe eisen, vertelt Liesbeth Beekhuis, juridisch business-controller bij de gemeente. Zaanstad is met 151 duizend bewoners één van de grotere gemeenten in Nederland en geldt volgens Beekhuis met de aanpak in het sociaal domein als een voorbeeld voor andere gemeenten. Veel belangrijke slagen op privacygebied werden meteen al bij de decentralisatie gemaakt. Maar naast het sociaal domein zijn er natuurlijk meer afdelingen, zoals burgerzaken, waar gevoelige gegevens rondgaan. ‘Privacy krijgt in Zaanstad op bestuurlijk en politiek vlak veel aandacht’, vertelt Beekhuis. ‘De angst dat gegevens van inwoners op straat komen te liggen is groot en incidenten worden breed uitgemeten in de media. Met de nieuwe verordening worden de eisen strenger en het is onze missie om hieraan te voldoen.’

Zaanstad overweegt een speciale privacyfunctionaris in te stellen, die als centraal aanspreekpunt moet gaan dienen binnen de organisatie. ‘Een eigen functionaris heeft mijn voorkeur en lijkt op langere termijn voordeliger dan hiervoor een extern persoon in te huren’, stelt Beekhuis. ‘Bovendien houd je met een eigen functionaris de kennis in huis. Het moet iemand zijn met een helikopterview en die meteen zijn bevindingen aan de slag kan gaan.’

Ideale maatregel
Een privacyfunctionaris lijkt een ideale maatregel om het privacybeleid van gemeenten te verbeteren. Maar is zo’n ‘privacy-officer’ ook voor kleinere gemeenten financieel haalbaar? Wél als zo iemand kan opereren namens een groep van samenwerkende gemeenten, zoals in de Brabantse Kempen.

‘We hebben de afgelopen jaren nagedacht over hoe we risico’s kunnen minimaliseren en waar de prioriteit hoort te liggen’, vertelt Erik Jongen, projectleider informatiebeveiligingsbeleid namens het shared service center van de gemeenten Bergeijk, Bladel, Eersel, Oirschot en Reusel-De Mierden. In 2014 stelden zij met een extern adviesbureau op het gebied van risicomanagement een informatiebeveiligingsbeleidsbeleid op. Voorbeelden van in het afgelopen jaar genomen maatregelen zijn er in overvloed, zo blijkt uit een opsomming van Jongen en de eveneens aangeschoven Wendy Welten (chief information security officer van Eersel) en Ton Pulles (coördinator informatiebeveiligingsbeleid van Bergeijk).

Er wordt binnen de gemeentelijke gebouwen gewerkt met een toegangspas en beveiligde zones. Wanneer er op afstand wordt gewerkt, is inloggen met extra sms-verificatie vereist. Bestanden met vertrouwelijke gegevens worden met een eigen tool encrypted verstuurd en niet via WeTransfer. Medewerkers die de Basisregistratie Personen willen raadplegen moeten eerst een formulier ondertekenen en aangeven waarom het nodig is. Daarnaast zijn wifi-toepassingen veiliger geworden en wordt er kritisch gekeken naar de opslag van gevoelige gegevens.

Maar daarmee zijn de Brabantse gemeenten er nog niet. Er is nog meer samenhang tussen de verschillende regels nodig. Het gezamenlijk aanstellen van een privacyfunctionaris is een goede optie. ‘Eén aanspreekpunt, iemand die kan monitoren én onderhouden, is handig’, geven de drie aan. ‘Een persoon die verantwoordelijk is voor de gezamenlijke gemeenten, maar ook persoonlijke aandacht heeft voor één gemeente wanneer zich daar problemen voordoen.’

Bewustwording
Daarnaast moet de focus binnen het gemeentelijk apparaat liggen op bewustwording. Dat kan lastig zijn in kleinere gemeenten, denken Jongen, Pulles en Welten. ‘Veel medewerkers hebben uiteenlopende taken en werken voor diverse afdelingen, soms zelfs voor meerdere gemeenten. Zodoende moeten ze ook toegang hebben tot meerdere informatiesystemen. Veel zaken zijn niet meer toegankelijk voor onbevoegden, maar die onbevoegden kunnen je directe collega’s zijn. Dat is even wennen.’

Ook in een grote gemeente als Zaanstad valt er op het gebied van bewustwording nog veel te winnen. Beekhuis: ‘Daarom zijn we in oktober begonnen met een gemeentelijke campagne. Zaanstad hanteert een clean desk-policy. Omdat we flexwerken houdt iedereen zich hier aan.’

Ook bij het gebruik van Suwinet zijn al stappen ondernomen, legt Beekhuis uit. ‘Er wordt steekproefsgewijs gecheckt wie wanneer bepaalde gegevens heeft ingezien. Wanneer iemand de persoonsgegevens van Marco Borsato of het vriendje van zijn dochter heeft opgevraagd, terwijl deze mensen niet tot zijn werkterrein behoren, dan heeft dat consequenties. Van een flinke berisping tot ontslag.’

Volgens Welten van de gemeente Eersel ontstaan de meeste incidenten door een gebrek aan bewustzijn. ‘Het is belangrijk om medewerkers duidelijk te maken waarom een bepaalde manier van werken beter is. Doe je dan niet, dan blijft iedereen zijn eigen manier hanteren en werkt om de maatregelen heen.’

Gevoelige informatie moet achter slot en grendel, stelt Welten, en documenten mogen niet zomaar rondslingeren. ‘Een register helpt in het terugdringen van incidenten. Op basis daarvan kunnen meldingen worden besproken. Het is belangrijk om medewerkers uit te leggen waarom het achterhalen van gevoelige en vertrouwelijke informatie zo interessant is voor bepaalde mensen.  Medewerkers moeten zelf overtuigd zijn van de noodzaak van privacybescherming.’

Twijfels
Zaanstad kijkt om haar privacybeleid te verbeteren goed om zich heen. De privacycommissie van grote buur Amsterdam wordt als voorbeeld gebruikt. Ook de richtlijnen van het CBP en de VNG zijn meegenomen. ‘Hoe we het beleid precies gaan aanpassen is nog niet duidelijk’, stelt Beekhuis. ‘We willen eerst duidelijk hebben wat er precies in de nieuwe verordening komt te staan.’

Bij Beekhuis zijn er ook twijfels over de noodzaak voor een nieuwe verordening. ‘Het zijn vooral regels voor het bedrijfsleven, waar de hoeveelheid data maar blijft toenemen. Persoonlijk vind ik een nieuwe verordening dan ook niet noodzakelijk. Te veel focus op privacy kan voor gemeenten ook grote nadelen hebben, bijvoorbeeld bij schrijnende gevallen van kindermishandeling of verwaarlozing.’

In de media komen op dit punt regelmatig zaken aan het licht waarbij GGD en gemeenten naar elkaar wijzen, licht Beekhuis toe. ‘Gegevens worden in verband met privacy soms niet aan elkaar verstrekt. Een compleet dossier overhandigen is natuurlijk onnodig, maar bij dringende gevallen moeten de benodigde gegevens snel op de goede plek zijn. Ik merk dat privacyregels nog te vaak worden aangegrepen als excuus voor een slechte samenwerking.’

Ook bij de Kempengemeenten merken ze dat ambtenaren de privacyregels soms als beperkend ervaren. Toch is de noodzaak ervan wel duidelijk, vindt Welten: ‘De hoeveelheid en diversiteit van gegevensverwerkingen door gemeenten neemt snel toe. Er lijkt een soort verzamelbehoefte van gegevens gaande. We willen dat tegengaan door ons steeds af te vragen of het vragen en opslaan van bepaalde gegevens wel echt noodzakelijk is. Als gemeente kun je op dat punt een voorbeeld stellen voor bedrijven die met overheden samenwerken.’

Zijn de Kempengemeenten klaar voor de nieuwe verordening? Je bent nóóit klaar, stellen Pulles, Welten en Jongen, omdat je niet weet wat kwaadwillende personen van plan zijn. ‘Er zullen altijd incidenten zijn, maar we zijn er goed op voorbereid. We beschikken met meerdere gemeenten in één samenwerking over veel expertise, we overleggen met deskundige partijen. We staan er zeker niet slechter voor dan een gemiddelde grote gemeente.’

Ook Beekman is positief gestemd over de ontwikkelingen op privacygebied in haar gemeente Zaanstad. ‘Of we kunnen voldoen aan de nieuwe privacyregels? Dat is nu nog lastig te beantwoorden. Laat ik het zo zeggen: Zaanstad is in ieder geval niet bang.’