Transparantie is key voor privacy

Sinds de Algemene Verordening Gegevensbescherming (AVG) is er meer aandacht voor privacy dan ooit. Met een afzonderlijke functionaris gegevensbescherming (FG), corporate information security officer (CISO) én privacy officer, neemt Hellendoorn het onderwerp bepaald serieus. Onder de IT-motorkap zorgt Privacy Workspace dat de gemeente verantwoording kan afleggen aan zijn inwoners over de verwerking van hun gegevens.

“Een half jaar voor de privacywet AVG inging, werd ik functionaris gegevensbescherming,” vertelt Fokke Dijkstra van de gemeente Hellendoorn. “Ik had altijd al iets met IT en met privacy, dus ik was blij toen de kans zich voordeed om aan de slag te gaan als FG. Ik ben plaatsvervanger van onze CISO en hij die van mij. Daarnaast hebben we nog een privacy officer, die drie rollen zijn bij ons dus gescheiden.”

Privacy tussen de oren

De beleidsnota die Fokke en zijn collega’s opstelden voor het college beschrijft dat privacy en omgaan met gegevens mensenwerk is. En dat het daarom van belang is om te blijven investeren in kennis en bewustwording van privacy. Fokke: “Het gaat niet alleen om regels en processen, het moet vooral ook beklijven tussen de oren van iedereen die ermee werkt.”

In aanloop naar de AVG hield de gemeente in de plaatselijke schouwburg een aftrapbijeenkomst voor alle 450 medewerkers, met Maria Genova, schrijfster van het boek Komt een vrouw bij de hacker. Fokke: “Dat ging onder meer over identiteitsfraude, een gevaar dat op de loer ligt als persoonsgegevens in verkeerde handen komen. Daarin kwam wel naar voren hoe verstrekkend de negatieve gevolgen daarvan kunnen zijn. Die boodschap heeft zeker bijgedragen aan bewustwording.”

“Verder hebben we een aantal maanden via een e-learningtraject de thema’s informatieveiligheid en privacy bij onze medewerkers onder de aandacht gebracht. Wat is een datalek? Wat zijn de mogelijke gevolgen? En wat doet de Autoriteit Persoonsgegevens precies? Al met al hebben we ruim een jaar actief aandacht besteed aan bewustwording en kennisdeling. Ook houden we met rapportages B&W en onze eigen organisatie op de hoogte van wat we doen op privacygebied. Transparantie is key als het gaat om privacy.”

Transparantie in gegevensverwerking

Met de awareness zit het dus wel goed bij Hellendoorn. Daarnaast is er natuurlijk de technische kant: hoe krijg je inzicht in hoe er wordt omgegaan met privacygevoelige gegevens? Voor alle burgerzaken bracht de gemeente in kaart wie toegang heeft tot welke gegevens, binnen en buiten de organisatie. Om zeker te zijn dat er geen persoonlijke gegevens onnodig heen en weer gaan. Fokke: “Iedereen heeft alleen toegang tot de informatie die voor hem of haar relevant is. Als je bij bepaalde informatie kunt, moet dat wel toegevoegde waarde hebben voor jouw werkzaamheden. En daar hoort een verantwoordelijkheid bij.”

“De AVG, de Europese privacywet die in 2018 inging, spreekt van ‘de rechten van betrokkenen’. Dat houdt onder meer in dat burgers aan een organisatie kunnen vragen welke gegevens die over hen bewaart en waarom. Om daar invulling aan te geven, zetten we Privacy Workspace in. Die tool legt vast wat daarmee gebeurt en wie welke gegevens inziet of bewerkt. Dat betekent dat we kunnen controleren wat medewerkers hebben gedaan en wie welke gegevens heeft ingezien.

De Centric-applicaties die we bij Hellendoorn gebruiken, zijn daarvoor aan de Privacy Workspace gekoppeld. Voor al die applicaties hebben we dus zicht op wat er met de betreffende gegevens gebeurt. Er is van tevoren wel een discussie gevoerd met de OR, want ergens raakt dit aan de privacy van de medewerkers zelf.”

“Je wilt snel kunnen voldoen aan een inzageverzoek en Privacy Workspace helpt daarbij.”

Fokke Dijkstra FG van de gemeente Hellendoorn

‘Snel voldoen aan een verzoek om inzage

Met die zogeheten rechten van betrokkenen, zoals het inzagerecht, is Hellendoorn volgens Fokke “al een heel eind”: “Vorig jaar kregen we een mail van iemand die vroeg of er gegevens over hem bij ons in de systemen stonden. En zo ja, op welke plekken. Na een snelle scan met behulp van Privacy Workspace kon ik hem laten weten dat hij – tot hij zijn mail verstuurde – niet voorkwam in onze systemen.”

“Er zijn zoveel gegevens en bewerkingen daarvan – handmatig is dat is niet te doen, die capaciteit is er simpelweg niet. Bovendien wil je goede service bieden aan je inwoners en dus snel kunnen voldoen aan zo’n verzoek om inzage. Privacy Workspace van Centric helpt daarbij, juist door de bewerking en inzage van informatie te loggen. Daardoor kunnen we transparant zijn.”

De FG is er niet voor de tik op de vingers

“Ik ben trots op hoe we de afgelopen drie jaar aan onze informatieveiligheid en privacy hebben gewerkt, met een aparte FG en privacy officer. Belangrijk om voor ogen te houden is dat we niet alleen een toezichthoudende, maar ook een adviserende rol hebben. De functionaris gegevensbescherming is er niet voor de tik op de vingers, maar moet vooral toegankelijk zijn voor tips en advies in het bewaken van privacy en zorgvuldig omgaan met gegevens. Mijn tip aan organisaties die privacy serieus nemen is dus: sta open voor vragen van collega’s, want privacybescherming blijft mensenwerk.”

Gebruikte oplossing

Privacy Workspace