‘Gemeenten passief in controle privacyregels’

Dit artikel delen:

Nederlandse gemeenten zijn niet erg actief in het vooraf controleren van de naleving van de AVG (Algemene Verordening Gegevensbescherming) binnen de eigen organisatie. Controles worden vaak pas achteraf uitgevoerd, De functionaris gegevensbescherming wordt pas geraadpleegd als er al een incident heeft plaatsgevonden. Dat komt naar voren uit onderzoek.

‘De verantwoordingsplicht die de AVG met zich meebrengt en die gecontroleerd wordt door de Autoriteit Persoonsgegevens (AP) heeft een grote impact op het reilen en zeilen van gemeenten. Naast het feit dat gemeenten de AVG moeten naleven, moeten zij de naleving ook aantoonbaar kunnen verantwoorden’, staat in een persbericht over het onderzoek Status Quo van de AVG Bij Gemeenten, dat is uitgevoerd door organisatie-adviesbureau Soulmade,

Volgens jurist in opleiding Jeroen van Dijk betekent dat aanzienlijk meer werk voor gemeenten. 'Meer verantwoordelijkheden op het gebied van zelfevaluaties en audits, meer toezicht op gegevensverwerkingen en meer aandacht voor de rechten van betrokkenen. Daarnaast zijn Data Protection Impact Assessments (DPIA’s) een belangrijkere rol gaan spelen.' Een DPIA is een risicoanalyse van een gegevensverwerking, waarbij wordt geanalyseerd welke grondslagen en doeleinden er nodig of aanwezig zijn en welke risico’s en gevolgen de verwerking met zich meebrengt.

Van Dijk concludeert dat daarin een grote rol is weggelegd voor de functionaris gegevensbescherming (fg). ‘Een fg heeft een toezichthoudende en adviserende rol en dient dus alle ruimte te krijgen van het management om de naleving te controleren. Daarnaast heeft de fg als taak om medewerkers kennis bij te brengen, verantwoordelijkheden toe te dichten of bewust te maken van de AVG. Een jaar na invoering van de AVG laat de gemeentelijke praktijk echter zien dat de functionaris veelal pas geraadpleegd wordt als het al te laat is en vaak controles achteraf uitvoert in plaats van proactief vooruit te managen.’

Veel privacybewuste medewerkers

Het onderzoek laat ook een positieve beweging zien: ‘Het afgelopen jaar heeft het creëren van bewustzijn bij de gemeentelijke medewerkers veel aandacht gekregen’, aldus Van Dijk. Uit het onderzoek blijkt dat gemeenten de bewustwording van de medewerkers als de sleutel tot succes zien voor een geslaagde implementatie en naleving van de AVG. Ook als het gaat om aantoonbare verantwoording. ‘Een bewuste medewerker is namelijk alerter én zorgvuldiger, waardoor misstappen op het vlak van informatieveiligheid en privacy, zoals datalekken, zijn te voorkomen.’

Uit het onderzoek komt een beeld naar voren van gemeenten die een te geringe voorbereiding op de AVG hebben gehad die leidde tot achterstanden bij de implementatie. ‘Bijna een jaar nadat de AVG van toepassing werd, komt de naleving langzaam op gang. De resultaten schetsen een wisselend beeld onder gemeenten als het gaat om het aantoonbaar kunnen verantwoorden op AVG verplichtingen. Er lijkt nog een lange weg te gaan op privacyvlak, al is er zeker ook positief nieuws te melden', aldus Van Dijk.

Bekijk hier het onderzoek.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Reacties

Misschien is er gewoon geen geld voor omdat alles lean en mean moet.
Ik weet het "proctief vooruit te managen" :-) budget niet en ben geen "jurist in opleiding".

"Een jaar na invoering van de AVG"? De AVG is al sinds 28 mei 2016 van kracht!
En voor organisaties die hun privacy-zaakjes en bedrijfsprocessen op orde hadden betekende de AVG overigens nauwelijks extra werk.

Zoals voorspeld was het bij management van zowel bedrijfsleven als overheden bij voorbaat al een simpele en risicoloze kosten/baten-afweging tegenover de pakkans. Hollands polderen met andermans privacy als commodity.

In plaats van zaken te structureren is datzelfde management sinds 2016 tot vandaag de dag niet opgehouden met klagen dat het toch wel 'erg veel, moeilijk en ingewikkeld' is. En recentelijk 'dat het MKB dreigt te bezwijken onder de privacylast' en de 'AVG in de publieke sector tot gevaarlijke situaties leidt'.

Velen waren zich niet 'bewust' dat gedurende de implementatieperiode 2016-2018 de Functionaris Gegevensbescherming bij uitstek de persoon was die kon zorgen dat alle 'Must Haves' en 'Should Haves' op tijd op orde waren voor de deadline van mei 2018.
Dat het een jaar later nog steeds aanmodderen is is dan ook niet meer dan zelfverklarend.

De vele miljoenen besteed aan 'bewustwording' hebben slechts een marginaal effect gehad.
Het gebrek aan persoonlijke accountability en de achterblijvende handhaving door de AP doen de rest.

"Het creëren van bewustzijn heeft veel aandacht gekregen", aldus Van Dijk, en noemt dat een positieve beweging.
Het aantoonbaar ontbreken van concrete resultaten wijst echter in een geheel andere richting.

@P.J. Westerhof
De begeleider van deze student vanuit Soul:Made is projectleider Awareness, de conclusies waren dus al getrokken voordat het onderzoek gestart werd.

@Ewout Dekkinga
Ik ben de begeleider en tevens projectleider Awareness inderdaad. De conclusies zijn inderdaad niet nieuw voor ons maar de uitkomst van het onderzoek is wel echt het resultaat van de 187 gemeenten die hebben deelgenomen :). Het bevestigd daarmee wat wij al jaren roepen, dat de menselijke rol cruciaal is maar hier te weinig aandacht aan besteed is. Het creëren van bewustwording en het veranderen van onze gewoonten gaat niet over één nacht ijs, en duurt vaak meerdere jaren wil je hier verandering in zien. Vele organisaties hebben hier lang geen aandacht aan besteed en hadden hier veel eerder (lees jaren geleden) al aan moeten beginnen, dan hadden ze zaken nu meer op orde gehad.

Marlies Schamper,
Ik ontken niet dat er een onderzoek heeft plaats gevonden, ik heb alleen twijfels over de onderzoeksopdracht en de kwaliteit hiervan. Een kwantitatief onderzoek middels een enquête heeft namelijk nogal wat nadelen, één daarvan is dat er vaak sociaal wenselijk geantwoord wordt ondanks dat een enquête anoniem is. De uitkomsten van dit soort onderzoeken zijn dan ook 'gekleurd' doordat in de vraagstelling een zekere mate van sturing zit. Het is dan ook nogal pretentieus om te concluderen dat het periodiek en regelmatig aanwakkeren van privacybewustzijn (awareness) bij medewerkers en management van gemeenten noodzakelijk is en dat Soul:Made hierin kan ondersteunen.

Mevrouw Schamper, ik vind de centrale onderzoeksvraag van het rapport onduidelijk. En dat dient als basis van het onderzoek. Met de 3 deelvragen kan ik de centrale onderzoeksvraag nog steeds niet reconstrueren. Methodologisch zijn er veel vragentekens. In het onderzoeksrapport staat o.a. “De 187 reacties die hierop volgden, geven een helder en representatief beeld van de huidige stand van zaken omtrent de AVG “. Alle grote gemeenten hebben blijkbaar gereageerd, 4 op de 5 middelgrote gemeenten en nog niet de helft van de kleine gemeenten. Hoe kan dan gesteld worden dat de respondenten representatief zijn en een goed totaalbeeld geven? Er is geen aselecte steekproef mogelijk als respondenten wel of niet kunnen meedoen. En hoe staat het met de inpact van politiek correct antwoorden? Hoe is het beeld van verstedelijkte gemeenten ten opzichte van meer rurale gemeenten? Ik lees nergens over een analyse op dit punt, laat staan iets over foutmarges en statistische correcties.

Voor elke wetenschapper geldt meten is alleen weten, als je ook weet wat je meet. Als onderzoeker moet je weten wat de mogelijkheden en beperkingen van onderzoeksmethoden en technieken zijn. De beschrijving van de onderzoekmethoden is nogal summier. Er wordt verwezen naar een juridisch onderzoeksplan, maar die is niet toegevoegd. Het kwantitatieve deel van het onderzoek middels enquêtes, zou op basis van rechtssociologische methoden moeten plaatsvinden (naast het traditionele juridisch-dogmatisch onderzoek dat zich met de meer vergelijkende kwalitatieve kant bezig houdt). De lezer weet niet wat bij dit onderzoek de methoden en technieken zijn geweest om bij de enquête sturing van de beantwoording tegen te gaan. En hoe is het gewenste neutraliteitseffect gecontroleerd? Hoe heeft men willen voorkomen dat zelfevaluatie, zelfbeoordeling wordt. Het is de lezer ook is niet bekend hoe de kwantitatieve en kwalitatieve analyses zijn uitgevoerd. Hoe zit het dan met de geldigheid van de conclusies. In paragraaf 5.3 wordt er een aantal aanbevelingen gedaan. Maar er is niet aangegeven hoe bijvoorbeeld onderscheid is gemaakt tussen correlaties en causale relaties. En deze diepgang heb je nodig voor het doen van aanbevelingen.

Ik neem de student Jeroen van Dijk niets kwalijk; hij heeft in 4-5 maanden veel gedaan en vast ook veel geleerd. Maar juridische opleidingen zijn nauwelijks onderzoeksgericht en HBO-opleidingen nog minder. Bovendien is de doorlooptijd bij gedegen wetenschappelijk onderzoek veel langer dan Van Dijk is gegund. Hijzelf heeft ook moeite met de kwalificatie van het onderzoek. Van Dijk noemt het verslag een scriptie. Maar een scriptie is literatuuronderzoek op basis van andermans onderzoek en is wezenlijk wat anders dan een rapport gebaseerd op empirische onderzoek, met verwijzingen naar eerder onderzoek.
Zou dit onderzoek daarom niet beter indicatief onderzoek genoemd kunnen worden? Gezien de vele opmerkelijke resultaten, de interessante opmerkingen, zijn er vele aanknopingspunten voor mogelijk vervolgonderzoek (met de VNG als sponsor?).

Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste ict-nieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2019-05-28T10:53:00.000Z Pim van der Beek
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.