Aanbevelingen Autoriteit Persoonsgegevens (AP) voor tweetal gemeenten: er blijkt nog veel werk te doen op AVG-gebied!

Tijdens deze eerste twee bezoeken constateerde de AP dat er nog genoeg moet verbeteren wil aan de minimumvereisten van de Algemene Verordening Gegevensbescherming (‘AVG’) zijn voldaan. Dit speelt zich af tegen de achtergrond van een datalek bij gemeente Eindhoven. Hier waren persoonsgegevens in gratis toegankelijke AI-modellen beland. Zie daarover ook ons andere item. Wanneer gemeentes zich niet aan de AVG houden is de AP bevoegd om o.a. boetes op te leggen. Dit laat zien waarom het zo belangrijk is dat gemeenten maar ook bedrijven en organisaties binnen de perken van de AVG werken. Bij gemeenten is het College van Burgemeester en Wethouders verantwoordelijk voor de naleving van de AVG. Wat kan uw College leren van de adviezen van de AP en hoe kan zij pro-actief aan de slag om te zorgen dat de AVG-zaken op orde zijn?  

Bij beide gemeenten wordt ingegaan op 3 verschillende punten:

• Het verwerkingsregister;
• Data protection impact assessments (verder ‘DPIA’); en
• De positie van de functionaris gegevensbescherming (verder ‘FG’).

De AP heeft bij beide gemeentes aanbevelingen gegeven om de verwerkingen te verbeteren. Een aantal belangrijke punten die uit deze aanbevelingen naar voren kwamen zullen hier besproken worden.

Verwerkingsregister

Elke gemeente is verplicht tot het bijhouden van een verwerkingsregister. Dit is een register waarin o.a. informatie rondom verwerkingen van persoonsgegevens moet worden bijgehouden. Informatie die in dit register moet worden opgenomen is bijvoorbeeld de wettelijke grondslag waarop een verwerking is gebaseerd en hoelang de gegevens bewaard mogen worden. Het bijhouden van een accuraat verwerkingsregister is belangrijk om goed overzicht te houden van de risico’s en de redenen waarvoor persoonsgegevens verwerkt worden. 

Wat betreft de onderzochte verwerkingsregisters benadrukt de AP de volgende verbeterpunten:

• Zorgdragen voor een accuraat en actueel verwerkingsregister. Alle verwerkingen moeten hierin worden opgenomen en voor elke verwerking ook het artikel waarin de verwerking zijn wettelijke basis vindt;
• Zorgdragen voor een koppeling tussen de gehouden DPIA’s en het verwerkingsregister. Dit maakt duidelijk welk risico een bepaalde verwerking heeft, hoe daar over geoordeeld is en welke beveiligingsmaatregel is getroffen;
• Informatie over de verantwoordelijke FG moet accuraat en volledig worden opgenomen in het verwerkingsregister. 

Het is belangrijk om na te gaan of uw register wel volledig en accuraat is om zo te voldoen aan de minimumvereisten van de AVG.

Data protection impact asessment (DPIA’s)

Een DPIA (ook bekend als een gegevensbeschermingseffectbeoordeling ofwel GEB) is een beoordeling die voor bepaalde verwerkingen moet plaatsvinden om het risico in kaart te brengen. Gemeenten moeten bijvoorbeeld een DPIA uitvoeren wanneer zij een verwerking uit willen voeren met een hoog risico voor de betrokkene. Een voorbeeld van een dergelijke verwerking die bij gemeenten voor kan komen is een geautomatiseerd besluit. In een DPIA moeten onder andere de noodzaak en de proportionaliteit van een verwerking beoordeeld worden. 

In de brieven van de AP wordt benadrukt dat DPIA’s:

•  Tijdig uitgevoerd moeten worden waarbij prioriteit gegeven wordt aan de hoogste risico’s. Dit is extra van belang wanneer het doen van een DPIA wettelijk verplicht is (op grond van art. 35 AVG bijvoorbeeld);
• Plaats moeten vinden vóórdat de verwerking van persoonsgegevens plaatsvindt, dat de FG hierin wordt betrokken en dat dit goed gedocumenteerd wordt; 

Zorg dus dat er een duidelijk beeld is van de verwerkingen waarvoor een DPIA moet plaatsvinden. 

De Functionaris Gegevensbescherming

Elke gemeente is volgens de AVG verplicht tot het aanstellen van een FG. Het is verplicht om bij de AP aan te geven wie de FG is. De FG is o.a. belast met het toezien op de naleving van de AVG en andere wetgeving die ziet op gegevensbescherming. De FG is ook het eerste aanspreekpunt voor de AP. Het is belangrijk dat de FG onafhankelijk kan functioneren ook als deze werknemer van de gemeente is. Dit om controle op het beleid goed gescheiden te houden van het maken en uitvoeren van het beleid. 

Ten aanzien van de FG benadrukt de AP dat:

• Het wettelijk verplicht is om voldoende middelen beschikbaar te stellen voor de FG zodat deze zijn taak kan uitvoeren (art. 37 lid 1 sub a AVG);
• Het daarbij goed is om duidelijk inzichtelijk te maken hoeveel middelen nodig zijn voor de FG om zijn taak uit te voeren;
• Besluitvorming over DPIA’s mag in bepaalde gevallen pas plaatsvinden na dat door de FG is geadviseerd (art. 36 AVG);
• Verzekerd moet worden dat er geen sprake is van belangenverstrengeling wanneer de FG bijvoorbeeld voor meerdere gemeentes werkt;
• De FG ingeschreven moet zijn in het FG-register van de AP;
• Er genoeg structurele overlegmomenten moeten zijn tussen de FG, de gemeentesecretaris en het bestuur;
• U zich ervan moet verzekeren dat in het aanwijzingsbesluit van de FG zijn taken juist zijn vastgelegd en dat dit ook de taken zijn die de FG moet uitvoeren uit hoofde van de AVG. De FG mag daarnaast geen uitvoerende taken toebedeeld hebben gekregen i.v.m. zijn onafhankelijkheid.

Het is voor u belangrijk om te zorgen dat de FG voldoende middelen ter beschikking heeft en dat deze haar taken onafhankelijk kan uitvoeren. Ga bijvoorbeeld na of de FG niet ook bij andere instanties aangesteld is en wat haar takenpakket buiten de FG-functie omvat. Verder is de samenwerking tussen het college, de gemeentesecretaris en de FG van groot belang om te voldoen aan de minimumvereisten uit de AVG. 

Conclusie

Er is volgens de AP voor deze twee gemeenten in ieder geval genoeg te verbeteren op de manier waarin persoonsgegevens verwerkt worden. De AP verwacht dat dit bij veel andere gemeentes ook nog het geval is, terwijl het datalek-incident in Eindhoven laat zien waarom het zo belangrijk is dat gemeenten wel conform de AVG werken. De AP is bevoegd boetes te geven en op andere manieren te handhaven als niet aan de minimumverplichtingen uit de AVG voldaan wordt. Het is daarom van belang dat u goed overzicht heeft van uw verplichtingen en beleid invoert voor gegevensverwerking en de verplichtingen die daarbij komen kijken. Wenst u advies? Neem dan contact met ons op.