In de aanloop naar 25 mei 2018 zorgde het AVG-spook bij menige gemeente voor de nodige zenuwen - wat als het ons niet lukt? In Ede bleef men rustig; door een eerdere reorganisatie stond privacy al stevig op de kaart. Maar omdat privacyborging 'work in progress' is, ontwikkelde de gemeente een toets om te meten hoe het ervoor staat en te zien wat beter kan.

Door: Quita Hendrison

Dat Erika Steenbrink nu de functie Functionaris Gegevensbescherming achter haar naam heeft staan, had ze twaalf jaar geleden – toen ze begon bij gemeente Ede – niet kunnen denken. "In die tijd was er nog geen nut en noodzaak voor die baan." Privacy is wel altijd de rode draad geweest in haar loopbaan. En toen de gemeente, mede door bezuinigingen, de dienstverlening ging reorganiseren was het onder andere op haar initiatief dat privacy een vaste plek kreeg in de organisatie. "Al in 2015 zijn we bewust in de driehoek FG-CISO-privacy jurist aan de slag gegaan met het borgen van privacy en informatieveiligheid. Dat was dus vóórdat de AVG van kracht werd."

Door een recente samenwerking tussen de gemeenten Ede, Rhenen en Wageningen ontstond er ruimte voor een extra FG. Sinds vorig jaar versterkt Hans Brakkee de troepen als FG naast Steenbrink waardoor de continuïteit geborgd is. Hij komt uit de bankwereld. Overheidsorganisaties hebben nog weleens de neiging zich te spiegelen aan 'de markt' om vervolgens te concluderen dat ze achterlopen. Maar dat ligt genuanceerder weet Brakkee: "Een gemeente, elke gemeente, heeft zoveel meer producten dan een financiële dienstverlener, we hebben met veel meer wetgeving te maken, het totaalplaatje is veel complexer. Wat me wel meteen opviel is dat er binnen de overheid veel wordt ingekocht qua IT-infrastructuur en er weinig zelf wordt ontwikkeld; daarmee is de afhankelijkheid van externe partijen groot. Dat is anders bij de banken." Geen onbelangrijke observatie, maar die laten we even liggen voor een ander moment. Terug naar de implementatie van de AVG.

AVG-kapstok

In Ede zijn keuzes gemaakt over hoe om te gaan met de AVG en het borgen van de privacy. Er is bewustzijn gecreëerd over het onderwerp, nagedacht over de governance, over wie waar verantwoordelijk voor is, over het opzetten van DPIA's enzovoort. Steenbrink: "Maar hoe krijg je overzicht over het geheel? Hoe krijg je in een groeiende gemeente als Ede grip op alle processen en projecten; we hebben immers gemeentebreed te maken met het verwerken van persoonsgegevens." Om de antwoorden te kunnen vinden heeft ze samen met Brakkee een toets ontwikkeld: de AVG 0-meting. Brakkee: "Als vertrekpunt voor deze toets hebben we het VNG raamwerk gebruikt dat is opgebouwd uit de zes thema's governance, beleid, werkprocessen, bewustwording & training, beheer & opslag en de Functionaris voor de Gegevensbescherming (FG). Elk thema is een stukje van de puzzel en als je die in elkaar past, zie je hoe alle thema's met elkaar samenhangen: samen vormen ze de kapstok waaraan alle onderwerpen van de AVG kunnen worden opgehangen."

Bij elk thema staan onderwerpen waarop je kunt scoren. Bij 'governance' staan bijvoorbeeld de onderwerpen 'Benoeming FG' en 'Bestuurlijke verantwoordelijkheid. Bij 'beheer & opslag' bijvoorbeeld 'Archivering' en bij 'werkprocessen' vind je het onderwerp 'Meldplicht datalekken'. Brakkee: "De onderwerpen komen voort uit de AVG, en we hebben er alle andere relevante wetgeving en aanvullende richtlijnen voor doorgespit. Alle onderwerpen zijn in een Excelsheet gezet. Samen vormen ze een totaalbeeld van alle aspecten die aandacht nodig hebben om AVG-proof te worden. Met dit document kun je de 0-meting uitvoeren; door in de organisatie met de relevante personen en afdelingen te praten en waarderingen toe te kennen aan de onderwerpen (zie kader). Ikzelf heb dat voor Ede gedaan en in Rhenen en Wageningen. Voor deze gemeenten zijn wij ook FG. Vanuit die functie hebben we ook daar de 0-meting gehouden om een beeld te krijgen hoe de gemeenten ervoor staan en hen te helpen bij de verdere borging van privacy."

Praatstuk

Doel van de 0-meting is grip krijgen op je privacy-organisatie: waar sta je, waar zitten risico's? De weerslag van de meting heeft de vorm van een compacte rapportage. Steenbrink: "Het is geen dik rapport dat we over de schutting de organisatie in gooien. Het rapport is een middel om het gesprek aan te gaan. De scores op de onderwerpen worden ook niet weergegeven in een cijfer, een percentage of een rood stopteken (slecht gedaan!). Dat roept alleen maar weerstand op. Het gaat erom dat je overzicht hebt in wat je al hebt gedaan en waar nog aan gewerkt moet worden. Het is een thermometer, geen certificering. En een praatstuk dat je kunt delen met de hele organisatie: van burgemeester tot werkvloer. Het legt veel zaken bloot die goed zijn om te weten. Voor deze zaken zal de organisatie bewust keuzes moeten maken. Ik zie het zo: als de AP hier binnenstapt moet ik de keuzes die we hier maken kunnen uitleggen. Ik moet kunnen aantonen waarom we doen wat we doen."

De rapportage is geen ding op zich. Brakkee: "Je kunt het integraal meenemen in de ontwikkelingen in jouw gemeente. Het maakt een soort foto van de status quo en die kun je doorvertalen naar processen en applicaties. Daarin zul je ook pragmatisch moeten zijn. Je kunt wel denken: mijn hele applicatielandschap moet anders op basis van deze meting, maar we weten allemaal dat dat niet realistisch is. Beter is het om aan te sluiten bij processen die al gaande zijn. Voor Rhenen zullen de prioriteiten anders liggen dan voor het veel grotere Ede. Uiteindelijk bepaal je als gemeente zelf welke organisatorische of technische maatregelen je wanneer neemt."

Wie een snelle blik werpt op de Excelsheet schrikt wellicht terug van het grote aantal onderwerpen. "Maar er staat niks in wat we als gemeente niet al dagelijks doen, we kijken er nu alleen door een AVG-bril naar," stelt Steenbrink. "Nogmaals het gaat om inzicht. Inzichten op basis waarvan wij als FG advies kunnen geven. Als onderdeel van de organisatie, niet als een soort externe auditor. Maar wij zijn ook geen uitvoerder, het is aan de wethouder of verantwoordelijk bestuurder en manager om te beslissen, en uiteindelijk aan alle verantwoordelijke ambtenaren om er wat mee te doen. Samen maak je een plan van aanpak. Niet in beton gegoten, want privacybeleid en informatieveiligheid zijn voortdurende in ontwikkeling. De onderwerpen in de toets kunnen bijvoorbeeld door een uitspraak van de AP om aanpassing vragen. Daarom willen wij jaarlijks gaan meten. We zijn nu al aan het nadenken over de 1-meting. Dat is een update van de 0-meting, en mogelijk zoomen we dan ook in op een aantal specifieke onderwerpen of organisatieonderdelen. De toets is zo opgesteld dat hij organisatiebreed monitort, maar je kunt hem ook inzetten voor een specifiek domein. We werken tenslotte allemaal met persoonsgegevens."

Route voor de AVG 0-meting

  • Interviews met de Privacy Officer, de CISO, verantwoordelijk manager en medewerkers die bij de implementatie van de AVG betrokken zijn (geweest) of medewerkers die specialistische kennis hebben op een bepaald gebied.
  • Desk Research waarbij onder andere documenten, beleidsstukken, de website en processen worden bekeken.
  • Afstemmen van de bevindingen met de geïnterviewde.
  • Opstellen van de conceptrapportage en bespreken met de betrokkenen.
  • Opstellen van de definitieve rapportage en deze overdragen aan bijvoorbeeld de Privacy Officer om aan de slag te gaan met de aanbevelingen.
  • Gebruiken van de rapportage voor de verantwoording/rapportage aan de hoogst leidinggevende binnen de organisatie zoals vermeld in de AVG.

Interesse in de AVG 0-meting?

U kunt de Excelsheet en de template voor de rapportage hier downloaden. Neem voor vragen contact op met Erika Steenbrink of Hans Brakkee.