Sinds mei 2018 is ook in Nederland de Algemene Verordening Gegevensbescherming (AVG) van kracht. Deze nieuwe Europese privacybeschermingswet stelt hoge eisen aan het verwerken van persoonsgegevens. De invoering van de AVG heeft uiteraard ook invloed op de werkwijze en IT-systemen van gemeenten. Maar hoe staan de lokale overheden er in de praktijk voor als het aankomt op AVG-compliancy? Wat is er veranderd na het daadwerkelijk in werking treden van de AVG? En wat zijn de grootste struikelblokken voor gemeenten met betrekking tot de AVG waar ze nog steeds mee worstelen?

Wat is er veranderd voor gemeenten door de intrede van de AVG?

Het vervangen van de Wet bescherming persoonsgegevens (Wbp) door de AVG heeft voor gemeenten vooral gevolgen gehad bij het verwerken van persoonsgegevens voor de Wmo, Jeugdwet, Participatiewet en de Wet gemeentelijke schuldhulpverlening. De veranderingen hebben grotendeels betrekking op de relatie tussen gemeente en cliënt, maar zijn soms ook meer organisatorisch van aard.

Relatie met de cliënt

Onder de AVG hebben gemeenten een aantal, deels nieuwe, verplichtingen ten opzichte van de cliënt bij het verwerken van persoonsgegevens. Wat zijn de belangrijkste?

  • De gemeente heeft een informatieplicht tegenover de betrokken cliënt. Dit houdt in dat gemeenten duidelijk kenbaar moeten maken welke persoonsgegevens zij verwerken, wie dat precies doet en met welk doel het gebeurt. Daarnaast moeten gemeenten duidelijk tonen wat er verder met de opgevraagde en verwerkte gegevens gebeurt en welke privacyrechten burgers hebben.
  • De informatie die gemeenten aan cliënten verstrekken over privacykwesties moet beknopt, begrijpelijk en gemakkelijk toegankelijk zijn. Dit betekent dat er begrijpelijke en eenvoudige taal gebruikt moet worden.
  • Toestemming om bepaalde persoonsgegevens te verwerken is op een actieve manier vastgelegd, bijvoorbeeld op papier, elektronisch of in een persoonlijk gesprek. Dit kan overigens wel een heikel punt zijn in de relatie gemeente-cliënt omdat het in de praktijk vaak onwaarschijnlijk is dat die toestemming in vrijheid gegeven is. Hoe los je dit als gemeente op? Gemeenten kunnen in dit geval terugvallen op een andere grondslag: de uitoefening van een ‘taak van algemeen belang of een taak in het kader van de uitoefening van het openbaar gezag’. Die taak moet dan wel aan een specifiek doel gekoppeld zijn. Denk bijvoorbeeld aan uitkeringsverstrekking of schuldhulpverlening.

De AVG geeft cliënten de mogelijkheid om zich tegenover de gemeente te beroepen op een aantal privacyrechten als hun persoonsgegevens worden verwerkt. Zo heeft de cliënt een recht op inzage (inclusief het vorderen van kopieën), het recht op correctie en aanvulling, het recht op gegevensverwijdering en het recht op de beperking van gegevensverwerking.

Organisatorische veranderingen

Ook op organisatorisch vlak hebben gemeenten de nodige aanpassingen in hun werkwijze moeten doorvoeren om AVG-proof te worden. Zo zijn er een aantal nieuwe verplichtingen waar je als gemeente terdege rekening mee moet houden nu de AVG een feit is. Denk hierbij aan de onderstaande zaken.

  • Gemeenten moeten voortaan een register van gegevensverwerkingen bijhouden.
  • Gemeenten zijn verplicht om een Functionaris Gegevensbescherming (FG) aan te wijzen. De FG is een onafhankelijke persoon binnen de organisatie die adviseert en rapporteert over de naleving van de AVG. De FG moet worden betrokken bij alles wat te maken heeft met gegevensbescherming, vaak een behoorlijke waslijst in het geval van gemeentelijke diensten.
  • Datalekken moeten binnen 72 uur worden gemeld bij de Autoriteit Persoonsgegevens. Ook de personen van wie de gegevens op straat zijn komen te liggen, dienen te worden ingelicht. In tegenstelling tot de Wpb schrijft de AVG tevens voor dat alle datalekken intern worden gedocumenteerd. Deze verplichtingen betekenen dat gemeenten hun ICT-systemen regelmatig grondig moeten onderzoeken op beveiligingsrisico’s.
  • De AVG schrijft het toepassen van privacy by default (standaardinstellingen van digitale diensten zoals een gemeentelijke website zijn zo privacyvriendelijk mogelijk ingericht) en privacy for design (al in de ontwerpfase rekening houden met een zorgvuldige verwerking van persoonsgegevens) voor. Deze twee begrippen zouden eigenlijk standaard in het DNA van gemeentelijk IT-personeel moeten zitten. Het is goedkoper en minder omslachtig om bij de ontwikkeling van producten en diensten al rekening met privacy by design te houden dan om met terugwerkende kracht allerlei AVG-gerelateerde wijzigingen binnen je IT-infrastructuur door te voeren.

Gevolgen van de AVG: hoe staan gemeenten er inmiddels voor?

Maar voldoen gemeenten en hun ICT-systemen inmiddels ook aan de strenge regelgeving die uiteengezet wordt in de AVG? De oordelen van dienstverleners op de markt van lokale overheden en beoordelingen van ambtenaren lijken in de richting van een ‘nee’ of ‘in veel gevallen nog onvoldoende’ te wijzen. Vooral Zeeuwse gemeenten blijken volgens onderzoek van het Bossche bedrijf Leadsupply nog slecht te scoren wat betreft het naleven van de AVG-regels. Flevoland liet bij het onderzoek de beste score noteren.

De bewustwording neemt weliswaar toe, maar dat vertaalt zich zeker nog niet altijd in een strikte naleving van de AVG-regels. Veel gemeentelijke websites zijn bijvoorbeeld nog niet geheel AVG-proof, terwijl ook een te gemakkelijke omgang met het burgerservicenummer (BSN) van cliënten vaak een struikelblok voor gemeenten is. Heel wat gemeentelijke ICT-systemen werken niet of nauwelijks zonder het invoeren van een BSN, ook als dit nummer voor de eigenlijke dienstverlening niet eens van belang is. Het gebruiken van het burgerservicenummer voor een (te) brede waaier aan gemeentelijke diensten is een automatisme dat ingebakken zit in het systeem, maar niet in overeenstemming is met de nieuwe privacyregels.

Andere problemen die in het onderzoek van Leadsupply geregeld aan het licht kwamen, waren ontoereikende of ontbrekende privacyverklaringen en een gebrekkige transparantie over de exacte identiteit van de Functionaris Gegevensbescherming. Bovendien maken gemeenten in de praktijk niet altijd op een legale manier gebruik van persoonsgegevens. Denk bijvoorbeeld aan het opvragen van ledenbestanden van verenigingen om na te gaan of de ledenaantallen kloppen in verband met het verstrekken van subsidies. Ook het opslaan van extra gevoelige gegevens, zoals strafrechtelijke informatie voor vergunningsdoeleinden, gebeurt nog niet bij alle gemeenten conform de AVG-regels.

Er zijn wel een aantal factoren aan te wijzen die het voor gemeenten extra lastig maken om op IT-vlak snel honderd procent AVG-proof te worden. Zo zijn het bijvoorbeeld grote en betrekkelijk logge organisaties die grotendeels worden gestuurd door politieke wensen in plaats van marktontwikkelingen. Bovendien hebben gemeenten vaak een meer beperkte keuze aan softwareontwikkelaars dan commerciële organisaties. Dit heeft soms een negatieve uitwerking op de geboden veiligheidsniveaus.

Oplossingen en positieve trends

Gelukkig zijn er wel trends te bespeuren die het pad effenen naar een oplossing voor het gemeentelijke geworstel met het nieuwe raamwerk dat AVG heet. Een van de belangrijkste ontwikkelingen is de opkomst van Common Ground en NLX. Common Ground legt niet alleen de basis voor het bouwen van flexibele en schaalbare applicaties, maar levert tevens talloze aanknopingspunten voor een betere interactie tussen gemeente en burger.

Het uitwisselen van data via NLX biedt voor gemeenten uitgelezen mogelijkheden om hun ICT-systemen in betrekkelijk korte tijd AVG-proof te maken. NLX brengt op veiligheidsgebied namelijk significante voordelen met zich mee. De techniek wordt bijvoorbeeld een stuk eenvoudiger omdat er minder schakels tussen ICT-systemen zitten. Door de verminderde complexiteit neemt de kans op datalekken of technische fouten af. Bovendien wordt de communicatie via NLX versleuteld middels moderne encryptiemethodes. Ingebouwde functionaliteiten als logging, autorisatie en doelbinding bieden gemeenten extra mogelijkheden om aan de strenge regels van de AVG te voldoen.

Een extra voordeel van NLX is dat de software naast bestaande ICT-toepassingen van organisaties wordt ontwikkeld. Dit betekent dat je reeds door je organisatie gebruikte IT-systemen niet gelijk helemaal om hoeft te gooien, wat tijd en geld scheelt. Met NLX kunnen verouderde systemen stapje voor stapje en zonder grote risico’s worden vervangen.

Conclusie: er is nog werk aan de winkel voor gemeenten

Het is duidelijk dat er voor veel gemeenten nog wel wat werk aan de winkel is als het aankomt op het volledig AVG-bestendig maken van hun dienstverlening en ICT-systemen. Er worden vaak nog oude, op gewoonte gebaseerde werkwijzen gebruikt die deels strijdig zijn met de nieuwe privacyregels. Daarnaast zijn ook de IT-systemen die gemeenten gebruiken op het gebied van AVG-compliancy niet altijd up-to-date.

Toch is er wel sprake van een groeiend bewustzijn bij gemeenten wat betreft het omgaan met de privacyregels van de AVG. Die trend wordt bijvoorbeeld zichtbaar in het toenemende gebruik van NLX-software, technologie die door de beschikbaarheid van functionaliteiten als logging en autorisatie extra mogelijkheden biedt om goed in te spelen op het veranderde privacylandschap.

Wil je weten hoe je de digitale dienstverlening van jouw gemeente beter kunt afstemmen op de AVG? Dan ben je bij ons aan het juiste adres. Bij EsperantoXL weten we waar de valkuilen zitten en hoe we ook jouw organisatie volledig AVG-proof kunnen krijgen.