Zoals we allemaal weten heeft de Autoriteit Persoonsgegevens (AP) een toezichthoudende rol. De ene keer gaat de aandacht uit naar cookiebanners, dan weer doorgifte naar derde landen, en nu staat gemeenteland op de agenda. De komende tijd gaat de AP steekproefsgewijs op bezoek bij verschillende gemeenten. Het doel is om te controleren of gemeenten goed omgaan met de persoonsgegevens en privacy van burgers. In deze blog leggen we uit waar de AP op gaat letten.
Verwerkingsregister
De AP heeft de bevoegdheid om het verwerkingsregister op te vragen bij organisaties, en dus ook bij gemeenten. Het verwerkingsregister biedt een overzicht van wat er qua privacy en persoonsgegevens gebeurt binnen de organisatie. Welke persoonsgegevens worden er verwerkt? Voor welke doeleinden worden de gegevens eigenlijk gebruikt, en op basis van welke wettelijke grondslag worden gegevens verwerkt? Hoelang blijven gegevens bewaard, en met welke derde partijen worden gegevens gedeeld? Zijn er passende beveiligingsmaatregelen getroffen?
Het verwerkingsregister kan in verschillende templates worden gegoten. Denk aan een Word-bestand, maar ook Excel zien wij regelmatig voorbijkomen. En ook zijn er steeds meer organisaties die gebruik maken van online tooling.
In kaart brengen wat er gebeurt binnen de organisatie, en die informatie opnemen in het verwerkingsregister, kan soms een hele grote klus zijn. De Legal Counsels van ICTRecht hebben hier veel ervaring mee, en ondersteunen dan ook graag.
Risicoanalyses
Binnen een gemeente worden erg veel persoonsgegevens verwerkt. Van normale persoonsgegevens tot gevoelige gegevens maar ook bijzondere persoonsgegevens. Ook zijn er allerlei systemen waarin de gegevens staan. Het is belangrijk dat goed wordt omgegaan met al die persoonsgegevens in verschillende systemen. Gemeenten werken ook veel samen met andere partijen. Denk bijvoorbeeld aan scholen, maar ook een woningcorporatie, de politie en brandweer. In dat kader worden veelal persoonsgegevens uitgewisseld. Vaak is dat mogelijk, maar er moet wel goed gekeken worden naar de privacy van de burgers. Een manier om dat te doen is middels het uitvoeren van een zogenaamde Data Protection Impact Assessment (DPIA). Aan de hand van een DPIA doet een organisatie voorafgaand onderzoek naar de privacyrisico’s die spelen bij een bepaalde gegevensverwerking. Het is de bedoeling om de risico’s in kaart te brengen en maatregelen te bedenken waarmee de risico’s uiteindelijk verkleind kunnen worden.
Het uitvoeren van een DPIA kan tijdrovend zijn. Ook ontstaat er wel eens discussie over de vraag wie de DPIA moet uitvoeren; de Privacy Officers of kan de business dat beter doen? Wat ons betreft kan een Privacy Officer niet zonder de input van de business, en de business heeft niet altijd de juridische kennis om een gehele DPIA uit te voeren. Dus beide partijen zijn nodig om tot een gedegen DPIA te komen.
Hulp nodig bij het uitvoeren van een DPIA? Onze Legal Counsels voeren regelmatig DPIA’s uit.
Functionaris Gegevensbescherming
In de Algemene verordening gegevensbescherming is vastgelegd welke organisaties wettelijk verplicht zijn om een functionaris voor gegevensbescherming (FG) aan te stellen. Gemeenten zijn onder andere verplicht om een FG aan te stellen. Het is niet altijd noodzakelijk om een FG een fulltime dienstverband aan te bieden. Denk bijvoorbeeld aan een kleine gemeente, waar wellicht een paar uur per week of per maand voldoende is. Zolang de FG maar wel betrokken blijft en toezicht houdt binnen de gemeente. Daarnaast is het natuurlijk van belang dat de FG voldoende privacykennis heeft, maar middels het volgen van een opleiding kan extra kennis worden vergaard.
Als organisatie vervullen wij de FG-rol voor allerlei organisaties, waaronder gemeenten. In sommige gevallen gaat het om slechts een paar uur per maand, maar een aantal dagen per week is ook mogelijk. Wij bekijken per gemeente wat passend is.
Is privacy binnen uw gemeente op orde? Of is er juist extra ondersteuning nodig? Wij helpen je graag!
Contact
