Naleving AVG door overheden
Hoe wordt de AVG door overheden nageleefd?
Op 9 februari 2023 is het onderzoeksrapport ‘Verkennende analyse: Naleving van de AVG door overheden’ gepubliceerd. Het rapport bevat de resultaten van het onderzoek dat is uitgevoerd door Pro Facto en Hooghiemstra & Partners. Wat zijn de belangrijkste conclusies en aanbevelingen? Je leest het in deze blog.
Aanleiding
Bij de verwerking van persoonsgegevens hebben overheden zich te houden aan de normen van de Algemene Verordening Gegevensbescherming (AVG). Burgers moeten erop kunnen vertrouwen dat hun gegevens goed zijn beschermd. In de afgelopen jaren hebben zich helaas meerdere situaties voorgedaan waarin overheden (zowel op rijksniveau als decentraal) tekort bleken te schieten in de naleving van de AVG. Om die reden hebben de toenmalige ministers van Binnenlandse Zaken en Koninkrijksrelaties (BZK) en voor Rechtsbescherming in 2021 het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC) gevraagd onderzoek te doen naar de naleving van de AVG door overheden. In dit onderzoek is nagegaan welke onduidelijkheden en problemen zich voordoen bij naleving van de AVG en wat de oorzaken zijn.
Het onderzoek heeft als doel een beeld te schetsen van de naleving van de AVG door overheden en is verdeeld in de volgende onderzoeksthema’s:
- Onderzoeksthema I: verkenning huidig beeld
- Onderzoekthema II: casestudy’s
- Onderzoeksthema III: analyse en veralgemenisering van het verkregen beeld
Het rapport ‘Verkennende analyse: Naleving van de AVG door overheden’ doet verslag van dat onderzoek. In deze blog ga ik alleen verder in op het deel dat gaat over gemeenten.
Het huidig beeld van de naleving bij gemeenten
In het onderzoeksrapport worden de bevindingen over het bestaande beeld van de naleving van de AVG door overheden gepresenteerd. Deze bevindingen zijn naar voren gekomen uit de gesprekken met de Vereniging voor Nederlandse Gemeenten (VNG), de Auditdienst Rijk (ADR), de Autoriteit Persoonsgegevens (AP) en een onafhankelijk expert die zich laat inhuren als extern FG. Hieronder een samenvatting van de bevindingen bij gemeenten:
- Volgens de AP zijn gemeenten niet goed op de hoogte van de geldende wetgeving en toepassing ervan. Daarbij hebben we het niet alleen over de AVG, maar ook over de Wet politiegegevens (Wpg) en andere wetten. Er is o.a. onduidelijkheid over de rollen van verwerker en verwerkingsverantwoordelijke onder de AVG, wat leidt tot problemen bij de naleving hiervan. Hierdoor zijn bijvoorbeeld gegevensverwerkingsregisters niet volledig en niet goed bijgehouden.
- Daarnaast is het uitvoeren van Data Protection Impact Assessments (DPIA’s) bij veel gemeenten niet op orde. Ze worden wel uitgevoerd, maar niet up-to-date gehouden, bijvoorbeeld wanneer de verwerking veranderd.
- Ook ontbreekt het vaak aan een structurele Plan Do Check Act-cyclus (PDCA-cyclus) voor de AVG. Een goed opgezette PDCA-cyclus is een belangrijk onderdeel van de implementatie en naleving van de AVG, het zorgt er onder andere voor dat periodieke controles en evaluaties plaatsvinden.
- De AP krijgt geregeld signalen van FG’s die aangeven niet genoeg zeggenschap te krijgen bij het nemen van beslissingen, of niet genoeg tijd of geld hebben om hun taken goed uit te voeren. In kleine gemeenten is de rol van de FG vaak verweven met die van adviseurs, en externe FG’s hebben vaak moeite om bij te blijven met wat er speelt binnen de organisatie. Daarnaast blijkt dat de adviserende rol soms tekortschiet wanneer de FG wordt belast met verantwoordelijkheden met betrekking tot privacybescherming in de uitvoering, zoals het uitvoeren van DPIA’s.
- Tot slot, staan gemeenten volgens de AP meer onder druk dan andere overheidsorganisaties door o.a. het takenpakket en problemen in bijvoorbeeld de jeugdzorg (denk aan de verantwoordelijkheden en verplichtingen die gemeenten hebben bij het bieden van zorg en ondersteuning aan kinderen en jongeren). Het opbouwen van een goede privacyorganisatie heeft hierdoor minder prioriteit gekregen dan gehoopt. Ook hebben veel gemeenten te maken met een personeelstekort, vooral op het gebied van gegevensbescherming.
Ondanks bovenstaande punten is het algehele beeld van zowel de AP als de VNG over langere termijn positief. Beide instanties hebben de indruk dat gemeenten stappen blijven zetten en zich steeds meer bewust worden van het belang van gegevensbescherming en hoe dat geborgd moet worden. Ook op het gebied van kennisdeling worden gemeenten, ondersteund door de VNG, steeds actiever. Er wordt bijvoorbeeld gebruik gemaakt van standaard verwerkersovereenkomsten en er zijn tools beschikbaar, zoals de Integrale Risico- en Privacy-Analyse (IRPA)-tool en de ENSIA-tool, om de naleving van de AVG te verbeteren.
Ikzelf deel deze conclusie van de AP en AVG niet. In mijn ogen wordt de lat hiermee niet hoog genoeg gelegd en de genoemde tools dekken maar een klein deel van de AVG compliance af. Kortom, hiermee wordt de AVG nog lang niet afdoende nageleefd. Enfin, door naar het volgende onderdeel.
Drie casestudy’s gemeenten
Een grote, middelgrote en kleine gemeente
In de casestudy worden drie gemeenten beschreven met betrekking tot de naleving van de AVG. Hieronder een korte samenvatting van de uitkomst van de casestudy per gemeente:
De eerste gemeente, een grote stad in Nederland, verwerkt een grote hoeveelheid persoonsgegevens en loopt voorop bij het gebruik van algoritmes. Ze zijn bezig om de AVG tijdig onderdeel te laten zijn bij beleidsvorming en de implementatie van dat beleid. De gemeente heeft een governancestructuur, privacybeleid en er vinden structurele privacyoverleggen plaats. Ze werken volgens het Three Lines of Defence risicomanagementmodel, waarbij de lijnorganisatie verantwoordelijk is voor privacy in de dagelijkse werkzaamheden, Privacy Officers het management adviseren en de FG toezicht houdt op de naleving. Ook zijn er privacyambassadeurs aangesteld en is er periodiek overleg tussen de verschillende Privacy Officers om ervoor te zorgen dat ze allemaal op hetzelfde informatieniveau zitten. In de praktijk blijkt wel dat de eerste lijn (de lijnorganisatie) wel wil, maar niet altijd weet wanneer of hoe ze moeten acteren en dat de tweede lijn (Privacy Officers) onduidelijkheid ervaart over wat tweedelijns advisering precies inhoudt. Hierdoor is de afstand tussen de eerste en tweede lijn soms (te) groot. Er wordt structureel gewerkt aan het vergroten van het privacybewustzijn binnen de gemeente, o.a. door scholing van medewerkers over het belang van naleving van de AVG.
De tweede gemeente, een middelgrote stad in Nederland, heeft ook een privacybeleid dat risicogestuurd toezicht benadrukt. Er wordt gewerkt aan het vergroten van het privacybewustzijn binnen de gemeente, maar de vertaalslag van de AVG naar de praktische realiteit op de werkvloer blijkt in de praktijk lastig te zijn en is onvoldoende geborgd binnen de organisatie. Dat heeft o.a. te maken met de beperkte tijd die de Privacy Officer heeft, aangezien zij de gehele organisatie moet bedienen. Ook wordt privacy vaak nog als iets ‘extra’s en belastend’ gezien binnen de eigen werkprocessen van collega’s. Het uitvoeren van DPIA’s is nog een uitdaging. De proceseigenaar (vaak lijnmanager) moet bepalen of een DPIA nodig is, maar in de praktijk is het vooral de Privacy Officer die dit adviseert of het initiatief neemt. Ook komt het nog voor dat er geen DPIA is uitgevoerd, terwijl achteraf blijkt dat dit wel had gemoeten. De praktijk is daardoor nog niet in overeenstemming met het beleid. De steun van het management groeit wel, maar hoe die steun en urgentie vervolgens te vertalen naar operationele acties, procedures en werkwijzen blijkt lastig. Daar komt bij dat de capaciteit van de Privacy Officer beperkt is, terwijl die een cruciale rol kan spelen in het maken van de vertaalslag van ambitie naar praktijk. Met de huidige beschikbare tijd en middelen worden de ambities dus niet waargemaakt.
De derde gemeente, een kleine gemeente in Nederland, heeft te maken gehad met een informatiebeveiligingsincident waarbij persoonsgegevens zijn gelekt. De gemeente heeft een privacybeleid en governancestructuur, waarin is vastgelegd hoe de verantwoordelijkheden met betrekking tot privacy zijn belegd. Het beveiligingsincident heeft een behoorlijke indruk gemaakt op de organisatie, waardoor het bewustzijn bij medewerkers groot is. Wel staat de gemeente onder grote druk om met beperkte middelen een groot takenpakket uit te voeren. Dit zorgt ervoor dat mensen gestimuleerd worden om efficiënt te werken en zich te richten op het op een slimme manier organiseren en uitvoeren van taken. Hierdoor kan het gebeuren dat privacybescherming minder belangrijk lijkt. Soms luistert het management niet meteen naar het advies van de FG, als betekent dat niet dat ze niet weten dat het belangrijk is om zich aan de privacyregels te houden.
Analyse
De casestudies laten zien dat gemeenten verschillende uitdagingen ondervinden bij de naleving van de AVG. Met name het te lage privacybewustzijn, de beperkte capaciteit van privacyfunctionarissen en het vertalen van privacybelangen naar de praktijk (zorgen dat privacyprincipes worden toegepast in de concrete handelingen en processen die je uitvoert), zijn punten die vaak genoemd worden. De steun van het management en de gemeenteraad speelt een belangrijke rol bij het vergroten van het privacybewustzijn en het naleven van de AVG. De rol van de FG is weliswaar van belang bij het toezicht en de naleving van de AVG, maar de uiteindelijke beslissingen worden genomen door de verwerkingsverantwoordelijke. Volgens de AVG is het bestuur van de organisatie de verwerkingsverantwoordelijke, maar in de praktijk zijn de AVG-verantwoordelijkheden gemandateerd in de lijnorganisatie, waarbij afdelingsmanagers en medewerkers binnen die afdelingen de taak hebben de AVG in de praktijk toe te passen.
Conclusie en aanbevelingen
Vier jaar na de inwerkingtreding van de AVG is er veel gedaan op het vlak van de bescherming van persoonsgegevens, maar er blijkt ook nog heel wat ruimte voor verbetering. De situatie is weliswaar verbeterd in vergelijking met een aantal jaren geleden, maar we zijn er zeker nog niet. Kortom, gemeenten hebben nog veel te doen! Niet alleen om de basis op orde krijgen maar met name om de basis op orde te houden. In het rapport worden daarom ook een aantal aanbevelingen gegeven:
Aan de minister voor van BZK en de minister van Rechtsbescherming:
- Wordt geadviseerd om meer te investeren in privacy bij overheidsorganisaties en een stimulerende rol te pakken om de privacyorganisatie bij overheden steviger neer te zetten en het privacybewustzijn te vergroten.
Aan overheidsorganisaties:
- Wordt geadviseerd om tijdig rekening te houden met privacybelangen, bijvoorbeeld door bij de start van projecten waarbij persoonsgegevens worden verwerkt, privacy direct mee te nemen (privacy-by-design). Ook wordt geadviseerd om snel een Data Protection Impact Assessment (DPIA) uit te voeren om de privacyrisico’s in kaart te brengen.
- Het ‘Three Lines of Defense’-model wordt veel gebruikt, maar het blijkt lastig te zijn om belangrijke rollen, zoals privacyfunctionarissen, in de organisatie in te vullen. Daarom wordt overheidsorganisaties geadviseerd om specifiek te investeren in het bijscholen van bestaande medewerkers. Bovendien wordt het ministerie geadviseerd om meer inspanningen te leveren om de beschikbaarheid van gekwalificeerd personeel op de arbeidsmarkt te vergroten door de overheidsgesteunde opleidingen op dit gebied te bevorderen.
- Ook wordt aanbevolen om in de eerste lijn privacyfunctionarissen, contactpersonen of aanspreekpunten aanwezig te hebben. Deze functionarissen spelen een waardevolle rol als ambassadeurs van het privacybeleid van de organisatie, waarbij ze het privacybewustzijn bij collega’s kunnen stimuleren en het belang ervan kunnen bewaken.
Aan het management en bestuur van overheidsorganisaties:
- Wordt geadviseerd om het belang van privacybescherming te benadrukken, zowel in woord als in daad. Dit omvat voorbeeldgedrag en het op organisatorisch niveau waarborgen van privacy bij het opstellen van beleid. Dit betekent dat de organisatie procedures, beleid en structuren moet implementeren om de privacy van bewoners te waarborgen. Het kan betekenen dat er beslissingen moeten worden genomen waarbij privacybescherming soms conflicteert met andere beleidsdoelstellingen, maar desondanks moet de bescherming van privacy altijd worden meegewogen en geïntegreerd in de besluitvorming en activiteiten van de organisatie.
Aan de AP:
- Wordt geadviseerd om meer (informeel) contact mogelijk te maken en mee te denken en adviseren. Naast handhaving is er behoefte aan meer communicatie, voorlichting en sturing vanuit de AP. Als capaciteitsproblemen dit niet mogelijk maakt, is uitbreiding van die capaciteit mogelijk een oplossing.
- Ook wordt aanbevolen dat de AP op meer gebieden een bredere taakopvatting aanneemt, zoals meer aandacht besteden aan terugkoppeling bij gemelde datalekken en versterking van het systeemgerichte toezicht door te investeren in capaciteit en het effectiever inzetten van het bestaande netwerk van FG’s.
Naar aanleiding van het rapport ben ik van mening dat de bevindingen teleurstellend zijn. Er is duidelijk nog veel ruimte voor verbetering op verschillende gebieden en actie nodig vanuit overheidsorganisaties, het management, de AP en andere betrokken partijen, willen ze voldoen aan de AVG.