Wat kunnen we leren van de gemeente Amersfoort?
De Rekenkamer Amersfoort deed onderzoek naar de bescherming van persoonsgegevens
Eind mei is het eindrapport van de Rekenkamer Amersfoort verschenen. De rekenkamer heeft o.a. onderzoek gedaan naar de bescherming van persoonsgegevens. Want hoe beschermt de gemeente de gegevens van haar inwoners? Hoe doen derden, aan wie de gemeente diensten uitbesteedt, dat? En wat kunnen andere gemeenten leren van Amersfoort?
Onafhankelijke toezichthouder
Rekenkamercommissies zijn onafhankelijke toezichthouders van de overheid. Zij controleren bijvoorbeeld of een gemeente haar werk al dan niet goed uitvoert. Ook als het gaat om informatiebeveiliging en privacy. Zo kan de rekenkamercommissie besluiten om onderzoek te doen naar de gemeentelijke informatievoorziening en of deze wel voldoende veilig en betrouwbaar is, en informatie van burgers in veilige handen is. In dit geval heeft de rekenkamer Amersfoort onderzoek gedaan naar de bescherming van persoonsgegevens. Dit heeft zij gedaan aan de hand van de volgende drie onderzoeksvragen:
- Hoe wordt de privacy van de Amersfoortse inwoners beschermd?
- Hoe wordt de privacy van inwoners beschermd door derden aan wie de gemeente de uitvoering van beleid heeft uitbesteed, of met wie anderszins persoonsgegevens worden gedeeld?
- Wordt er adequaat gebruik gemaakt van de AVG?
Wat blijkt?
De gemeente Amersfoort doet het goed. Het privacybeleid van de gemeente voldoet in hoofdlijnen aan de Algemene Verordening Gegevensbescherming (AVG) en is de afgelopen jaren sterk verbeterd. Zo is het beleid bekend onder medewerkers en wordt hier in de praktijk ook naar gehandeld. De verschillende eisen en principes van de AVG zijn goed uitgewerkt in beleid en werkprocessen die door medewerkers worden nageleefd. Dit is onderzocht door middel van diverse interviews en workshops onder verschillende medewerkers van de gemeente, met als doel inzicht te verkrijgen in de cultuur van de organisatie en hoe er in de dagelijkse praktijk met privacydilemma’s wordt omgegaan. Ook worden de afspraken die worden gemaakt met samenwerkingspartners goed nageleefd. Tot slot, wordt de raad op de hoogte gehouden en actief betrokken bij de uitgangspunten uit het beleid. Bij ernstige datalekken worden zij geïnformeerd.
Welke lessen kunnen andere gemeente hieruit trekken?
Voorkomen is beter dan genezen
Niet alleen bij de gemeente Amersfoort, maar binnen de gehele overheid, is goede bescherming van persoonsgegevens nodig. De snelle digitalisering van onze dienstverlening zorgt voor nieuwe uitdagingen op het gebied van informatiebeveiliging en privacy. De afgelopen jaren hebben gemeenten dan ook hard gewerkt om de AVG te implementeren. Uiteraard is er geen garantie dat je als gemeente geen slachtoffer wordt van incidenten op privacyvlak, zoals datalekken. Gemeente Amersfoort weet dat als geen ander… want de afgelopen jaren ging het op dat vlak een paar keer goed mis.
Het grootste datalek vond plaats in 2016, toen een e-mail met persoons- en zorggegevens van 1900 Amersfoorters verkeerd geadresseerd werd. En ook in 2018 was het goed raak: een ambtenaar verzond honderd bijstandsgerechtigden met op de achterzijde (bank)gegevens van anderen geprint. Kortom, zo veel als mogelijk voorkomen blijft altijd beter dan genezen. Daarom onderstaand een aantal punten die we kunnen leren van gemeente Amersfoort:
-
Zorg voor een sterke (veiligheids)cultuur
Binnen gemeente Amersfoort is veel aandacht geweest voor de invloed van de cultuur in de organisatie voor de omgang met persoonsgegevens. De gemeente werkt volgens de rekenkamer actief aan een prettig werkklimaat waar medewerkers mogelijke fouten durven toe te geven. Immers, bij een informatieveilige omgeving hoort ook een veilige meldcultuur. Zo is het belangrijk dat collega’s niet bang zijn om incidenten, zoals datalekken, te melden. Tevens wil je bevorderen dat iedereen risico’s signaleert en deze ook meldt en elkaar aanspreekt op onveilig gedrag.
-
Zorg voor ambassadeurs
Amersfoort heeft sleutelpersonen aangesteld als het gaat om privacy. Dit zijn medewerkers die een eerste aanspreekpunt zijn voor collega’s. Zij begrijpen de belangrijkste aspecten van privacy en dragen dit ook uit. Zo is het voor collega’s makkelijk om binnen elke afdeling iemand te vinden waarbij ze terecht kunnen met vragen over privacy. Ook kunnen zij medewerkers wijzen op beleid en richtlijnen. Wil je hier meer over weten, lees dan ook eens ons boek ‘Gemeenten. Bewustzijn. Privacy.’, waarin we hier uitgebreid over schrijven.
-
Zorg voor experts
Dit zijn professionals binnen de organisatie die lastige, technische of juridische vragen kunnen beantwoorden, zoals de Functionaris Gegevensbescherming, CISO en Privacy Officer. Binnen gemeente Amersfoort kunnen collega’s bij onduidelijkheden over hoe met iets moet worden omgegaan, ook advies vragen bij de afdeling Juridische Dienstverlening en Advies (JDA) en IT Dienstverlening en Advies (ITDA).
-
Zorg voor bewustwording en informeer nieuwe medewerkers over het privacy- en informatiebeveiligingsbeleid
Bijvoorbeeld door het doorlopen van een (verplichte) leermodule over privacy bij indiensttreding. Bespreek het goed omgaan met persoonsgegevens ook in functionerings- en/of beoordelingsgesprekken wanneer dit relevant is en haak aan op landelijke initiatieven. Zo geeft gemeente Amersfoort extra aandacht aan privacy op de ‘Europese dag van de privacy’ en wordt de jaarlijkse ‘Week van de Veiligheid’ in oktober gebruikt voor informatieveiligheid.
-
Betrek en houd de raad op de hoogte omtrent privacy
Dit kan doormiddel van raadsinformatiebrieven en presentaties. Binnen gemeente Amersfoort is de raad actief betrokken bij de uitgangspunten van het privacybeleid en wordt de raad direct geïnformeerd bij ernstige datalekken. Hierdoor zijn raadsleden bewust en actief bezig met het onderwerp privacy. Datalekken geven wat hen betreft met name aanleiding om breder na te denken over hoe de bewustwording rondom privacy blijvend kan worden versterkt.
-
Maak duidelijke afspraken met derden
Om te zorgen dat derden zich aan dezelfde eisen op het gebied van privacy en informatiebeveiliging houden als de eisen waar de gemeente Amersfoort zichzelf aan houdt, moet je duidelijke afspraken maken met elkaar. Door gemeente Amersfoort worden daarom met derden consistente afspraken gemaakt in de vorm van (verwerkers)overeenkomsten of convenanten. Om te monitoren of partijen zich ook aan de gemaakte afspraken houden, wordt momenteel een (nieuw) systeem ontwikkeld.
Leerschool
Kortom; gebruik dergelijke rekenkamerrapporten als leerschool voor je eigen gemeente. Zo kunnen we gezamenlijk de bescherming van persoonsgegevens binnen de gehele overheid verbeteren.