AVG: hoe staat het ermee?

Op 9 februari 2023 is er een onderzoeksrapport van het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC) gepubliceerd onder de titel ‘Naleving van de AVG door overheden’. [1]

Het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC) is het kennisinstituut van het ministerie van Justitie en Veiligheid. Het WODC verricht zelf onafhankelijk wetenschappelijk onderzoek of laat dit, zoals in dit geval, door externe partijen doen. Op die manier draagt het WODC bij aan het beleid van het ministerie.

De aanleiding voor het onderzoek wordt gevormd door enerzijds de voorbeeldfunctie die overheden hebben bij het naleven van wet- en regelgeving en anderzijds voorvallen waarbij overheden niet in overeenstemming hebben gehandeld met de AVG. Een voorbeeld daarvan is het door de media breed uitgemeten geval waarbij een aantal medewerkers van de GGD persoonsgegevens uit de systemen voor coronatests en bron- en contactonderzoek te koop aanboden. [2]

Het beeld dat WODC heeft gekregen over de naleving van de AVG bij overheden is gebaseerd op informatie van onder andere de Vereniging Nederlandse Gemeenten (VNG), De Auditdienst Rijk (ADR) en de Autoriteit Persoonsgegevens (AP). Dat beeld is aangevuld aan de hand van negen uitgevoerde casestudy’s bij overheden. Dit betroffen een ministerie, vier uitvoeringsorganisaties, 3 gemeenten (van verschillende grootte) en een waterschap. Het onderzoek is niet representatief, maar het WODC geeft aan wel een goede ‘dwarsdoorsnede’ te hebben bekeken. De organisaties zijn niet bij naam genoemd.

In het rapport wordt geconstateerd dat het zorgvuldig verwerken van persoonsgegevens na invoering van de AVG verbeterd is, maar het is nog niet zoals het moet zijn. Ik noem hier een aantal bevindingen uit het rapport die overheden – maar ook bedrijven – kunnen helpen bij het verder vormgeven van het op een adequate manier voldoen aan de AVG en dus het op zorgvuldige wijze omgaan met persoonsgegevens:

• Gemeenten hebben niet altijd voldoende kennis van de AVG en de toepassing daarvan, terwijl er door gemeenten wel veel persoonsgegevens worden verwerkt;
• Met betrekking tot de rol van de FG: regelmatig staat de onafhankelijkheid van de FG onder druk en er is sprake van rolvermenging tussen FG (intern toezicht) en privacy officer (beheerstaken en advisering in de dagelijkse praktijk);
• Het primaire proces bij departementen (‘dominantie van beleidsdoelen’) krijgt voorrang boven bescherming van persoonsgegevens; vanwege bezuinigingen wil men dikwijls niet investeren in die bescherming;
• AVG-kwesties worden te laat of niet herkend (onvoldoende besef dat beoordelen van AVG-aspecten plaats moet vinden voordat er persoonsgegevens worden verwerkt), DPIA’s zijn niet op orde;
• Bij het voldoen aan de AVG wordt soms meer aandacht besteed aan techniek en beveiliging en minder aan alle processen binnen de organisatie.

Tenslotte komt het rapport met een aantal aanbevelingen ten behoeve van het beter op orde krijgen van het voldoen aan de AVG. Ik noem er, vrij vertaald, enkele waar overheden – maar ook bedrijven – hun voordeel mee kunnen doen. De aanbevelingen aan de minister voor Rechtsbescherming, de minister van BZK en aan de AP laat ik voor het doel van dit artikel achterwege. In cursief geef ik bij elke aanbeveling een praktische tip om de aanbeveling te effectueren.

• Besteed tijdig aandacht aan de bescherming van persoonsgegevens bij projecten waarbij persoonsgegevens zullen worden verwerkt, bijvoorbeeld door dit onderwerp van gesprek te maken en (vervolgens) een DPIA uit te voeren.

Tip: betrek al bij de eerste brainstorm over het project de privacy-expert of de privacy-ambassadeur.

• Zorg voor een goede invulling van en investering in belangrijke rollen op het gebied van bescherming van persoonsgegevens. Het gaat daarbij om de rollen in het three lines of defense-model, dat wil zeggen respectievelijk de lijnorganisatie, (C)PO’s en aandachtsfunctionarissen (ook wel genoemd ‘privacy ambassadeurs’ of ‘privacy champions’) en de FG.

Tip: werk in de tweede en derde lijn met ambitieuze en ervaren privacy-experts die je kunnen helpen de valkuilen te ontdekken en met je mee kunnen denken over mogelijkheden die er wél bestaan om een gewenst doel te bereiken. Investeer daarin en denk eraan: ‘goedkoop is duurkoop’.

• Betrek bij vraagstukken rond de bescherming van persoonsgegevens een privacy officer en de FG. Zorg ook voor aandachtsfunctionarissen, zij kunnen het privacybewustzijn in de organisatie stimuleren en het belang daarvan bewaken.

Tip: betrek een privacy-expert bij alle kwesties rond de bescherming van persoonsgegevens.

• Voor management en bestuur: benadruk het belang van privacybescherming organisatiebreed in woord en in daad. Dat houdt in: ‘practice what you preach’ en zorg ervoor dat de organisatie zo is ingericht dat beleidsdoelstellingen worden afgewogen tegen de bescherming van persoonsgegevens.

Tip: benadrukken van het belang van bescherming van persoonsgegevens komt pas goed over als management en bestuur meer dan oppervlakkige kennis hebben van de regels rond bescherming van persoonsgegevens. Te vaak zien wij dat management dit beschouwt als een ‘moetje’. De regels op het gebied van bescherming van persoonsgegevens gaan niet weg, het belang ervan zal in de komende jaren toenemen, bijvoorbeeld door de stormachtige opkomst van AI. Kennis van het werken met persoonsgegevens is nodig om strategische beslissingen te kunnen nemen over de richting van beleid en doelen bij overheden en de ontwikkeling van diensten en producten bij bedrijven.

Lex Digitalis is een full service bureau op het gebied van privacy, data en cybersecurity en kan u helpen met het realiseren van bovenstaande aanbevelingen en tips! U kunt daarover contact met mij opnemen (06 – 28610416, sippe.vandertas@lexdigitalis.nl) of met een van mijn collega’s.

[1] Volledig rapport: https://repository.wodc.nl/bitstream/handle/20.500.12832/3244/3301-naleving-avg-door-overheden-volledige-tekst.pdf?sequence=1&isAllowed=y
[2] https://nos.nl/artikel/2365961-arrestaties-voor-handel-in-persoonsgegevens-uit-coronasystemen-ggd