Sinds mei 2018 is ook in Nederland de Algemene Verordening Gegevensbescherming (AVG) van kracht. Deze nieuwe Europese privacybeschermingswet stelt hoge eisen aan het verwerken van persoonsgegevens. De invoering van de AVG heeft uiteraard ook invloed op de werkwijze en IT-systemen van gemeenten. Maar hoe staan de lokale overheden er in de praktijk voor als het aankomt op AVG-compliancy? Wat is er veranderd na het daadwerkelijk in werking treden van de AVG? En wat zijn de grootste struikelblokken voor gemeenten met betrekking tot de AVG waar ze nog steeds mee worstelen?
Het vervangen van de Wet bescherming persoonsgegevens (Wbp) door de AVG heeft voor gemeenten vooral gevolgen gehad bij het verwerken van persoonsgegevens voor de Wmo, Jeugdwet, Participatiewet en de Wet gemeentelijke schuldhulpverlening. De veranderingen hebben grotendeels betrekking op de relatie tussen gemeente en cliënt, maar zijn soms ook meer organisatorisch van aard.
Onder de AVG hebben gemeenten een aantal, deels nieuwe, verplichtingen ten opzichte van de cliënt bij het verwerken van persoonsgegevens. Wat zijn de belangrijkste?
De AVG geeft cliënten de mogelijkheid om zich tegenover de gemeente te beroepen op een aantal privacyrechten als hun persoonsgegevens worden verwerkt. Zo heeft de cliënt een recht op inzage (inclusief het vorderen van kopieën), het recht op correctie en aanvulling, het recht op gegevensverwijdering en het recht op de beperking van gegevensverwerking.
Ook op organisatorisch vlak hebben gemeenten de nodige aanpassingen in hun werkwijze moeten doorvoeren om AVG-proof te worden. Zo zijn er een aantal nieuwe verplichtingen waar je als gemeente terdege rekening mee moet houden nu de AVG een feit is. Denk hierbij aan de onderstaande zaken.
Maar voldoen gemeenten en hun ICT-systemen inmiddels ook aan de strenge regelgeving die uiteengezet wordt in de AVG? De oordelen van dienstverleners op de markt van lokale overheden en beoordelingen van ambtenaren lijken in de richting van een ‘nee’ of ‘in veel gevallen nog onvoldoende’ te wijzen. Vooral Zeeuwse gemeenten blijken volgens onderzoek van het Bossche bedrijf Leadsupply nog slecht te scoren wat betreft het naleven van de AVG-regels. Flevoland liet bij het onderzoek de beste score noteren.
De bewustwording neemt weliswaar toe, maar dat vertaalt zich zeker nog niet altijd in een strikte naleving van de AVG-regels. Veel gemeentelijke websites zijn bijvoorbeeld nog niet geheel AVG-proof, terwijl ook een te gemakkelijke omgang met het burgerservicenummer (BSN) van cliënten vaak een struikelblok voor gemeenten is. Heel wat gemeentelijke ICT-systemen werken niet of nauwelijks zonder het invoeren van een BSN, ook als dit nummer voor de eigenlijke dienstverlening niet eens van belang is. Het gebruiken van het burgerservicenummer voor een (te) brede waaier aan gemeentelijke diensten is een automatisme dat ingebakken zit in het systeem, maar niet in overeenstemming is met de nieuwe privacyregels.
Andere problemen die in het onderzoek van Leadsupply geregeld aan het licht kwamen, waren ontoereikende of ontbrekende privacyverklaringen en een gebrekkige transparantie over de exacte identiteit van de Functionaris Gegevensbescherming. Bovendien maken gemeenten in de praktijk niet altijd op een legale manier gebruik van persoonsgegevens. Denk bijvoorbeeld aan het opvragen van ledenbestanden van verenigingen om na te gaan of de ledenaantallen kloppen in verband met het verstrekken van subsidies. Ook het opslaan van extra gevoelige gegevens, zoals strafrechtelijke informatie voor vergunningsdoeleinden, gebeurt nog niet bij alle gemeenten conform de AVG-regels.
Er zijn wel een aantal factoren aan te wijzen die het voor gemeenten extra lastig maken om op IT-vlak snel honderd procent AVG-proof te worden. Zo zijn het bijvoorbeeld grote en betrekkelijk logge organisaties die grotendeels worden gestuurd door politieke wensen in plaats van marktontwikkelingen. Bovendien hebben gemeenten vaak een meer beperkte keuze aan softwareontwikkelaars dan commerciële organisaties. Dit heeft soms een negatieve uitwerking op de geboden veiligheidsniveaus.
Gelukkig zijn er wel trends te bespeuren die het pad effenen naar een oplossing voor het gemeentelijke geworstel met het nieuwe raamwerk dat AVG heet. Een van de belangrijkste ontwikkelingen is de opkomst van Common Ground en NLX. Common Ground legt niet alleen de basis voor het bouwen van flexibele en schaalbare applicaties, maar levert tevens talloze aanknopingspunten voor een betere interactie tussen gemeente en burger.
Het uitwisselen van data via NLX biedt voor gemeenten uitgelezen mogelijkheden om hun ICT-systemen in betrekkelijk korte tijd AVG-proof te maken. NLX brengt op veiligheidsgebied namelijk significante voordelen met zich mee. De techniek wordt bijvoorbeeld een stuk eenvoudiger omdat er minder schakels tussen ICT-systemen zitten. Door de verminderde complexiteit neemt de kans op datalekken of technische fouten af. Bovendien wordt de communicatie via NLX versleuteld middels moderne encryptiemethodes. Ingebouwde functionaliteiten als logging, autorisatie en doelbinding bieden gemeenten extra mogelijkheden om aan de strenge regels van de AVG te voldoen.
Een extra voordeel van NLX is dat de software naast bestaande ICT-toepassingen van organisaties wordt ontwikkeld. Dit betekent dat je reeds door je organisatie gebruikte IT-systemen niet gelijk helemaal om hoeft te gooien, wat tijd en geld scheelt. Met NLX kunnen verouderde systemen stapje voor stapje en zonder grote risico’s worden vervangen.
Het is duidelijk dat er voor veel gemeenten nog wel wat werk aan de winkel is als het aankomt op het volledig AVG-bestendig maken van hun dienstverlening en ICT-systemen. Er worden vaak nog oude, op gewoonte gebaseerde werkwijzen gebruikt die deels strijdig zijn met de nieuwe privacyregels. Daarnaast zijn ook de IT-systemen die gemeenten gebruiken op het gebied van AVG-compliancy niet altijd up-to-date.
Toch is er wel sprake van een groeiend bewustzijn bij gemeenten wat betreft het omgaan met de privacyregels van de AVG. Die trend wordt bijvoorbeeld zichtbaar in het toenemende gebruik van NLX-software, technologie die door de beschikbaarheid van functionaliteiten als logging en autorisatie extra mogelijkheden biedt om goed in te spelen op het veranderde privacylandschap.
Wil je weten hoe je de digitale dienstverlening van jouw gemeente beter kunt afstemmen op de AVG? Dan ben je bij ons aan het juiste adres. Bij EsperantoXL weten we waar de valkuilen zitten en hoe we ook jouw organisatie volledig AVG-proof kunnen krijgen.
Volgens onderzoeksbureau Gartner behoren Betty Blocks, Mendix en OutSystems tot de beste no-code en low-code platforms.
Een low-code framework biedt een raamwerk voor softwareontwikkeling waarbij programmeurs op een visuele manier applicaties modelleren en weinig tot geen code hoeven te schrijven.
Volgens onderzoeksbureau Gartner behoren Betty Blocks, Mendix en OutSystems tot de beste low-code platforms.
In deze whitepaper laten we zien hoe je jouw bedrijfsprocessen optimaliseert door middel van een goede software-integratie.
Lees meerCEO
Wil je meer weten over dit onderwerp? Neem dan contact met ons op.
Wij kunnen je er meer over vertellen.