Oplossing om AVG te implementeren!

 In Geen categorie

Gemeentes en alle andere overheidsinstellingen krijgen per 25 mei 2018 te maken met GDPR de Europese Privacy Verordening waarbij de Algemene Verordening Gegevensbescherming de 100% Nederlandse vertaling hiervan is. Die verordening grijpt op alle onderdelen van gemeentelijke en overheidsorganisatie in. Immers welke ambtenaar, welk organisatieonderdeel van een gemeente of andere overheidsinstelling heeft niet te maken met gegevens van individuele burgers. In deze bijdrage leg ik kort uit waarom AVG zo’n belangrijk onderwerp is en hoe gemeentes en andere organisaties er tóch greep op krijgen. Dit met als doel dat hun dienstverlening aan de burger er niet onder leidt en de bedrijfsvoering van de gemeente of overheidsorganisatie toch in-control is conform de AVG-wetgeving.

AVG is niet hetzelfde als ICT. Het is niet alleen een ICT-vraagstuk. Wel is het zo dat AVG en ICT onlosmakelijk met elkaar verbonden zijn. Dan lijkt het een lastig onderwerp te worden omdat ICT-trajecten een slechte naam hebben: ingewikkeld, duur, lange trajecten, informatielekken. En met die achtergrond al helemaal een lastig onderwerp omdat van u op 28 mei 2018 nogal wat gevraagd wordt! Het is dus nodig de koe bij de horens te vatten.

De AVG vereist de volle aandacht van management van gemeentelijke en andere overheidsorganisaties op de consequentie van de AVG. Mede door deze breedte is het ook een lastig en divers onderwerp. Daarom is die volle aandacht van het management nodig want u MOET per 25 mei 2018 aan de eisen van de AVG voldoen. Doet u dat niet dan heeft de AVG de mogelijkheid om met stevige sancties te komen.

Waar speelt er allemaal?

  • AVG heeft impact op processen. middelen, ethiek en alle compliance en privacy-aspecten. Waar zit die impact, wie is de aangewezen persoon om dit op te pakken, wat moet die dan doen?
  • AVG heeft impact op het dagelijks handelen van iedere ambtenaar in de gemeentelijke en andere overheidsorganisaties. Wat zijn de risico’s voor bij ondeskundig gebruik, bij datalekken en nog zo wat van die vragen
  • AVG heeft directe invloed op de door gemeentes toegepaste ICT in eigen beheer, wat dient daarvoor te gebeuren?
  • AVG heeft directe invloed op de door gemeentes toegepaste ICT in beheer bij derden. Dan is er sprake van een verwerkingsregister. Dat meot worden bijgehouden, daarop moet worden toegezien.
  • Er dient een duidelijke organisatie aanwezig te zijn voor het opzetten, onderhouden en beheer van alle AVG-aspecten
  • en nog veel meer

Het is van belang dat gemeentelijke en overheidsorganisaties de burger ondanks de AVG uitstekend kan blijven bedienen. Dan is er nodig dat er soepel lopende processen en ICT komen en waar de ambtenaar lekker mee kan werken en dat hij lekker in zijn vel zit.

Waar zijn dan oplossingen voor nodig?

  • Bewustwording: wat betekent de AVG voor het dagelijks werk. Dan samen met mensen uit de organisatie aan de slaag gaan om dat boven tafel te krijgen
  • Impact: duidelijk inzicht creëren van wat de feitelijke impact op processen, taken en verantwoordelijkheden van mensen en leidinggevenden zijn. Opnieuw is het van belang dit samen met de betrokken mensen te doen
  • Informatievoorziening:  een informatieplan op te stellen om de AVG-regelgeving concreet in te passen in bestaande ICT. Het is essentieel dit samen met de mensen uit de organisatie te doen en niet alleen door ICT-deskundigen.
  • Opzetten van een organisatie om de organisatie blijvend in AVG-control te houden
  • Realiseren dat de verwerker van gegevens (bijv. externe leveranciers) dat doet in lijn met de gedragsregels zoals de gemeentelijke of overheidsorganisatie dat wenst en welke in lijn is met de wetgeving.
  • Een implementatieplan opstellen om de uit te voeren acties in kaart te brengen en om aan de Privacy Autoriteit aantoonbaar te maken dat de organisatie per 25 mei 2018 concreet en met acties aan de slag is om in control te komen
  • het concreet vanuit intern of wellicht externe bron) ondersteunen van de organisatie bij de implementatie-activiteiten, bijv.  door coördinatie van activiteiten of implementatiemanagement.
  • Met concrete afspraken en procedures realiseren dat management en ICT op één lijn zijn en blijven op het gebied van AVG en die alignment door de AVG-verantwoordelijken kan worden onderhouden

Dit is een greep uit de vele onderwerpen die kunnen spelen bij de implementatie van de AVG. De oplossingen ervoor  kunnen voor iedere organisatie anders zijn. De door de organisatie toegepaste ICT heeft hierop grote invloed.

Wie hebben met de AVG te maken?
Wellicht wordt in de praktijk gedacht dat de AVG alleen speelt bij de afdeling Burgerzaken of de interne accountmanager of bij het KCC. Dit is volstrekt onjuist. In alle geledingen van de gemeentelijke of overheidsorganisatie spelen privacy-gegevens en het gebruik ervan in het dagelijks werk een grote rol. Dit betekent dat inzake alle bestanden die er in de organisatie zijn, privacy-maatregelen moeten worden genomen. Dus niet alleen voor die grote systemen, dus niet alleen voor de systemen die ‘draaien ‘bij een externe leverancier, ook voor de excel-bestanden, ook voor die ‘vergeten” kaartenbakken.

Concreet betekent dit dat voor de implementatie van AVG de organisatie en het gebruik daar van privacy-gegevens uitgangspunt dient te zijn voor de implementatie van de AVG. Het is dus niet uitsluitend een ICT-vraagstuk. Het is een organisatievraagstuk waar de wetgever de directeur, de gemeentesecretaris als eindverantwoordelijke ziet.

Succesvol AVG implementeren heeft deze insteek als basis. Dat geeft de eindverantwoordelijke voor AVG handvatten om vanuit verschillende perspectieven naar AVG-vraagstukken te kijken en daarop passende maatregelen te nemen. Juist met het nemen van die maatregelen en het concreet implementeren ervan maken dat de organisatie kan aantonen dat zijn in-control is met de AVG.

 Bent u 28 mei aantoonbaar in-AVG-control?
Alle organisaties en bedrijven, dus ook gemeentelijke en andere overheidsinstellingen moeten zich inspannen om op 25 mei 2018 in-control te zijn op AVG-terrein. Dat heeft bij veel organisaties eigenlijk weinig prioriteit gehad, terwijl er veel werk mee gemoeid is. Immers AVG heeft over de volle breedte van de organisatie en van hoog tot laag grote impact. Daar zit de onderschatting. Daarom is het zeer belangrijk dat management en medewerkers samen aan de slag gaan om de gevolgen van AVG op de processen en ICT bij het dagelijks handelen van mensen in de organisatie op te lossen. Juist dat samen leidt tot de beste resultaten, voor de burger, de mensen in de organisatie en het management.

Roland Boukema (zie ook linkedin).

Recent Posts

Leave a Comment

Nieuwsgierig geworden?

Wilt u geïnformeerd blijven? Laat dan hier uw gegevens achter. Dan houden wij u maandelijks op de hoogte met onze informatiebulletin t.w. “de Stroomversnelling”