Zuinig met persoonsgegevens
Wilmar Hendriks, privacy-expert in het sociaal domein, licht drie manieren toe om te besparen én te verbeteren via de vaak verfoeide AVG.
Bezuinigen is natuurlijk niet het doel van de Algemene Verordening Gegevensbescherming, AVG. Maar privacy en kostenbesparing kunnen samengaan, zelfs met snel en blijvend effect. Privacy-expert Wilmar Hendriks, projectleider in het landelijke Programma Sociaal Domein, licht drie manieren toe om te besparen én verbeteren via de vaak verfoeide AVG.
Tips om tijd te besparen
Iedere gemeenteambtenaar herkent de schaarste in aanbod van ervaren professionals. Daarom als eerste een set tips die aanzienlijk op de tijd van professionals helpen besparen, terwijl het effect ervan juist groeit. Ik heb dit zelf ervaren toen ik aan het werk mocht met boa’s, waaronder Leerplichtambtenaren. Met hen bekeken we bovengemiddeld complexe gevallen. In het systeem troffen we omvangrijke digitale dossiers aan, vaak met talrijke bijlagen en grote hoeveelheden gevoelige informatie. We schrokken er samen van.
De boa’s gingen samen aan de slag deze dossiers samen te vatten tot wat minimaal nodig was om het doel te bereiken. Een oefening die overigens deze complexe dossiers binnen de eisen van de AVG ‘hervormden’, dus dat ruimde keurig op.
Met de professionals bedachten we ook een manier om elk contactmoment in het dossier tot een minimum beschrijving te beperken. Simpel gezegd: wanneer, wie, aanleiding, afspraken en vervolg. En verder alleen de op dat moment noodzakelijke omstandigheden en feiten. In de AVG heet dat dataminimalisatie.
Ook spraken we af dat die minimale beschrijving direct en ter plekke met de betrokkene(n) werd gedeeld en eventueel aangepast met of zelfs aangevuld door de betrokkene. In de AVG heet dit Informatieplicht en Rechten van betrokkene.
Directe betrokkenheid
Enkele leerplichtambtenaren boden aan dit zes weken in praktijk te brengen en de ervaringen terug te koppelen. Die werkwijze maakte indruk op collega’s en management: ‘Dit scheelt ons zeker een halve dag per week’. Dat is dus 10 procent van de capaciteit van deze schaarse professionals. Bovendien was de directe betrokkenheid van betrokkenen merkbaar in het effect. Kortom: met (veel) minder werk een beter effect.
Door dossiers te minimaliseren en direct te delen met de betrokkenen, bespaarden we tien procent van de capaciteit van de schaarse professionals.
Ketenprocessen inrichten
Er valt ook veel te besparen door privacy by design toe te passen bij het beschrijven en inrichten van ketenprocessen. Slimme inrichting voorkomt onnodig werk, opslag en discussies en daarmee vervolgschade. Zorg dat je de hele reis van de ‘klant’ in beeld krijgt en werk daarbij samen aan de ‘koppelmomenten’. Beperk je daarbij tot wat echt nodig is.
Het grootste euvel is hier ontbrekende of onvoldoende afstemming over koppelvlakken tussen ketenpartners. Dit valt te voorkomen door het ontwerpen en inrichten met de expertise én samenwerking die de koppelmomenten vereisen.
Klantreis centraal
Een goede plek om dit te borgen is de DPIA, Data Protection Impact Assessment. Dit is een instrument om vooraf de privacyrisico's van een gegevensverwerking in kaart te brengen. Het beschrijven, inrichten en qua privacy borgen van een proces moet volgens de AVG met een DPIA. De uitdaging in ketenprocessen is dat DPIA’s vaak letterlijk zijn verknipt tussen de verwerkingsverantwoordelijken. In elke klantreis komen de partners elkaar diverse keren tegen, met ergernis of negatieve gevolgen voor de betrokkene of verantwoordelijke als gevolg. De oplossing is hier elkaar structureel opzoeken en samenwerken. Zet een club gedelegeerden aan het werk, met mandaat en afspraken over wie zij vertegenwoordigen, hoe hun resultaat op kwaliteit wordt gecheckt en hoe dat wordt vastgesteld. Als dezelfde ketenpartners elkaar vaak tegenkomen, pleit ik voor een algemeen convenant tussen veel partners. Daar zijn mooie standaarden voor. Belangrijk is dat de klantreis centraal moet staan. Uitsluitend op de raakvlakken moeten zij afspraken maken.
Kosten besparen
Opzet bij de overheid is zelden de drijfveer voor grote datalekken of (andere) onrechtmatige verwerking. Als alle mensen in de GGD Corona belteams in hun opleiding duidelijke instructies over privacy en vertrouwelijkheid van gegevens hadden gekregen, was de kans groot dat het datalek daar niet was voorgevallen. Dat geldt evengoed voor de meeste datalekken bij gemeenten, ziekenhuizen en andere organisaties. Vergeet niet dat die AVG ook slaat op alles wat we in de mail hebben staan.
De laatste tip is daarom structureel aandacht te geven aan bewustzijn. Train mensen voordat ze starten, onderhoud dat en stimuleer onderlinge afstemming. En laat zien wat je doet. Je kan als overheid heel goed laten zien dat er controle is op verwerking van persoonsgegevens. Voor ketenpartners geldt hetzelfde.
Tot slot: laat je niet te makkelijk afschepen als iemand je vertelt dat iets wat echt nodig is ‘niet van de AVG mag’. De AVG moet zwaar serieus genomen worden, het beschermt immers grondrechten. Maar de AVG is er absoluut niet om de belangen van die betrokkenen te beperken.
Plaats als eerste een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.