FG Jolanda Aalten over de AVG: ‘Vind het wiel niet alleen uit, werk samen met anderen’

Wat voor gegevens verwerken we? Hoe lang mogen we deze bewaren? Hoe zorgen we ervoor dat we de privacy van onze werknemers goed in acht nemen? Uit de AVG vloeien soms lastige vragen voort die momenteel bij alle (decentrale) overheden de revue passeren. Functionaris Gegevensbescherming Jolanda Aalten adviseert dan ook: doe het niet alleen, maar werk samen met anderen en wissel kennis uit. Sinds januari dit jaar is zij werkzaam voor de provincie Utrecht. Zijn ze al klaar voor 25 mei?

Klaar voor 25 mei?

Volgens Aalten moet er bij decentrale overheden veel gebeuren op het gebied van privacy. Er wordt niet alleen hard gewerkt om aan de AVG te voldoen, maar er moet vaak ook nog een achterstand ingehaald worden op grond van de Wet bescherming persoonsgegevens (Wbp). Mensen binnen deze organisaties hebben daarnaast vaak veel vragen. De provincie Utrecht is al hard op weg. Het privacy-team van Aalten is momenteel druk bezig met het verwerkingsregister. “We hebben alle teammanagers gevraagd om alle verwerkingen die binnen hun team plaatsvinden in kaart te brengen. Onze teller staat momenteel al op zo’n 500 verwerkingen”, vertelt ze. Aalten legt uit dat ze deze verwerkingen nu gaan ordenen in een privacytool die ze zullen aanschaffen. “Hierin registreren we ook alle datalekken, bewerkersovereenkomsten en de Privacy Impact Assessments (PIA’s). We hebben dan straks alles overzichtelijk bij elkaar en kunnen hierin ook goed taken bijhouden.” Het opstellen van een goed beleid en het bereiken van medewerkers zijn nog de grootste hindernissen, volgens Aalten. “Het is niet slechts een kwestie van het overnemen van de handleiding van het Ministerie van Justitie en Veiligheid: de kans is klein dat een medewerker dit volledig gaat lezen. Je moet met iets komen waarmee je de medewerkers echt bereikt. Met de bewustwording zijn we al wel heel ver. We geven ook wekelijks presentaties bij verschillende teams en afdelingen ter bevordering hiervan.” Naast het opstellen van het verwerkingsregister is het team van Aalten ook druk bezig met het scannen van alle systemen die de provincie aanschaft. Daarmee doelt ze op het checken van de systemen die persoonsgegevens verwerken op de regels van de AVG. Ze benadrukt echter dat ook voor systemen waarin geen persoonsgegevens verwerkt worden dient te worden gecontroleerd of ze volledig veilig zijn. Daarbij gebruikt de provincie de normen van ISO/IEC 27001.

Garanderen van de rechten van de betrokkene

Het recht op inzage is volgens Aalten het recht waar decentrale overheden straks het meest mee te maken gaan krijgen. “Het inzagerecht is momenteel al een belangrijk burgerrecht onder de huidige Wbp, maar ik verwacht dat hier steeds vaker een beroep op zal worden gedaan vanwege alle aandacht die hier momenteel aan wordt besteed in de media. Mensen zullen zich over het algemeen meer bewust zijn van wat hun rechten zijn.” Het opstellen van een privacy statement is een belangrijk aandachtspunt voor organisaties waar nog veel misgaat, volgens Aalten. Zo ziet ze nog vaak voorkomen dat organisaties het privacy statement zien als iets heel algemeens (als een soort disclaimer) in plaats van een middel om het recht op informatie van de betrokkene te garanderen. Er wordt dan bijvoorbeeld alleen gezegd: “Wij verwerken persoonsgegevens, maar doen dat heel zorgvuldig en treffen hele goede maatregelen hiervoor.” “Dit is echter niet voldoende om te voldoen aan de plicht om betrokkenen goed te informeren”, aldus Aalten.

Tips voor andere decentrale overheden

Aalten adviseert andere decentrale overheden te beginnen met het in kaart brengen van alle verwerkingen in een verwerkingsregister. Daarnaast is volgens haar de bewustwording van je personeel erg belangrijk. “Daar is namelijk een grote kans op datalekken.” Verder raadt ze aan: “Doe het niet alleen, maar werk samen met andere organisaties. Wij hebben de samenwerking opgezocht met andere provincies. We komen maandelijks bij elkaar en wisselen stukken met elkaar uit, zodat we niet allemaal het wiel opnieuw hoeven uit te vinden. Ook worden hier veelgestelde vragen binnen de provincies gedeeld.” Tot slot vertelt Aalten dat overheden over het algemeen al goed bewust zijn van de privacyrechten van hun werknemers, maar ze wijst werkgevers erop dat er onder de AVG toch nog zaken zijn die ze niet moeten vergeten. Zo noemt ze onder andere de omgang met zieke medewerkers. “Je mag namelijk niet meer vragen wat iemand precies heeft en dit mag al helemaal niet verwerkt worden. Als een medewerker een mail stuurt over zijn/haar ziekte, mag deze ook niet bewaard worden. Ook hebben medewerkers recht op inzage van het personeelsdossier.”

Hoe wordt er tegen de AVG aangekeken?

Wordt de AVG over het algemeen gezien als een grote last of juist een goed en belangrijk nieuw onderdeel van de organisatie? Aalten ziet met name dat mensen bereid zijn mee te werken aan een goede implementatie van de AVG. “Dit merk je al door alle input van medewerkers betreffende hun verwerkingen en de vragen die binnenkomen in de privacy-mailbox die we voor hen hebben geopend. Wel merk je dat medewerkers soms nog onzeker zijn over wat ze wel en niet mogen.” Aalten vindt dat er nog wel wat onduidelijkheden zijn omtrent de AVG. Bijvoorbeeld wat betreft het ‘bewaren voor zover noodzakelijk’. “Hierbij moet je zelf bepalen wat een redelijke termijn is voor het bewaren van gegevens, wat ook lastig kan zijn. Hierbij is met name de verantwoordingsplicht heel belangrijk. Je moet goed kunnen onderbouwen wat je doet en waarom je het zo doet.”

Herkent u zich hierin en heeft u bijvoorbeeld vragen over wat u wel en niet mag op het gebied van het verwerken van gegevens? Of bijvoorbeeld waar u als decentrale overheid rekening mee moet houden wat betreft privacy op de werkvloer? Neem dan gerust contact op met ons via onze helpdesk.