Sinds twee jaar is de nieuwe privacywet van kracht (de AVG). De uitvoering van de AVG blijkt niet altijd even makkelijk te zijn. Argos voerde onlangs een onderzoek uit naar de naleving van de privacywet. Hieruit bleek dat een kwart van de gemeenten privacy niet serieus neemt. Diverse toezichthouders van gemeenten wilden, op voorwaarden van anonimiteit, openlijk spreken over de moeilijkheid van hun werk vanwege het gebrek aan financiële middelen en het bewustzijn over het belang van privacy.
Door Lisanne Wigboldus
Het onderzoek
Naar alle 355 Nederlandse gemeenten is een vragenlijst verstuurd. 126 gemeenten zijn aan de vragenlijst begonnen en slechts 99 hebben deze afgemaakt. Tevens zijn nog 11 gemeenten die de vragenlijst niet hebben afgemaakt, wel meegenomen in het onderzoek. Daarnaast zijn 49 diepte-interviews afgenomen met functionarissen gegevensbescherming (hierna afgekort als FG) van de betreffende gemeenten. Uit de resultaten van het onderzoek blijkt dat maar liefst 84 van de 110 onderzochte gemeenten op dat moment niet voldeden aan de vereisten van de AVG. Ook combineerden minstens 26 gemeentelijke toezichthouders hun functie met een andere baan in de gemeente, terwijl deze constructie volgens de Autoriteit Persoonsgegevens en de Vereniging Nederlandse Gemeenten niet wenselijk is.
De functionaris
Bedrijven die veel persoonlijke gegevens verwerken, zullen een toezichthouder hiervoor moeten aanstellen. Deze controleert het privacybeleid en adviseert bij de besluitvorming omtrent privacy. Juist in tijden van crisis is het in kaart brengen van de verspreiding van het coronavirus van groot belang. Het RIVM verzamelt deze gegevens tot op gemeenteniveau en publiceert deze openbaar. Gemeenten kunnen er dan zelf voor kiezen om meer gespecialiseerde kaarten intern bij te houden. De functionaris geeft hieromtrent advies, zodat de privacy van de inwoners goed beschermd wordt.
De controlerende taak van de functionarissen houdt mede in dat er volledig onafhankelijk gewerkt moet worden en dat de functionaris elk half jaar een privacyrapport moet schrijven. Hierin staat hoe de gemeente omgaat met persoonlijke gegevens van de inwoners. Volgens de regels zou het privacyrapport naar het bestuur van de organisatie moeten gaan, maar dit gebeurt lang niet altijd. Vaak verdwijnt een dergelijk rapport in een la of zitten de functionarissen te laag in de organisatie om daadwerkelijk invloed te kunnen uitoefenen.
De resultaten
Er worden diverse problemen aangekaart door de functionarissen gegevensbescherming. Ten eerste hebben de gemeentelijke toezichthouders naar eigen zeggen te weinig kennis over de werking van de AVG. Daarnaast is ook de onafhankelijkheid van hun controlerende taak in het geding. Tot slot zijn de toezichthouders van mening dat zij te weinig steun krijgen van de Autoriteit Persoonsgegevens. 41 van de 49 functionarissen die naar aanleiding van het onderzoek geïnterviewd zijn, zijn ontevreden over hoe de gemeente omgaat met privacy. Dit zijn bijvoorbeeld twee uitspraken van een functionaris in het interview:
“De vorige fg is vertrokken, dus nu ben ik als CISO tijdelijk aangewezen als fg. Dat werkt dus niet, want nu moet ik als fg mezelf als CISO controleren.”
“Ik heb zo weinig uren gekregen om de privacy in de gaten te houden. Ik ben de FG van zes gemeenten. Ik ging er een keer tegenin en toen werd er minder fte vrij gemaakt voor de functie.”
Ook blijkt uit het onderzoek dat de functionaris gegevensbescherming in veel gevallen een dubbele pet opheeft. Toen de AVG van kracht werd, werd in veel gevallen een functionaris aangewezen die daarnaast ook zijn of haar oude functie behield. Dat zorgt voor combinaties van functies met als gevaar een belangenverstrengeling.
In de ideale situatie heeft elke gemeente een functionaris gegevensbescherming, die ondersteund wordt door een Privacy Officer en een Chief Information Security Officer. Een combinatie van deze functies is wettelijk niet toegestaan, maar gebeurt dus bij een kwart van de gemeenten wel.
Tot slot zijn de gemeentelijke toezichthouders het vrij unaniem erover eens dat de Autoriteit Persoonsgegevens vrijwel nooit van zich laat horen. Het zou een overbelaste organisatie zijn. De AP herkent dit probleem, maar geeft aan dat er plannen zijn om dit in 2020 te verbeteren.