Digitale informatie bepaalt of de moderne bestuurder zijn positie behoudt of verliest. Veilige opslag van bestuurlijke informatie is daarom belangrijker dan ooit.
Een moderne bestuurder is informatiebewust. Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) de norm die bepaalt of u veilig en zorgvuldig met informatie omgaat. De AVG heeft grote impact op het organiseren van informatiebeheer binnen uw gemeente. Wat kunt u doen?
Waar moet u op letten bij de komst van de AVG?
Via de onderstaande afbeelding ziet u 6 punten die uw aandacht vragen bij de komst van de AVG:
Hoe kunt u boetes voorkomen?
De Autoriteit Persoonsgegevens (AP) heeft gemeenten erop gewezen dat zij niet goed omgaan met het in de openbaarheid brengen van persoonsgegevens via besluitenlijsten, raadstukken, aanvragen en bezwaarschriften (bron). Vanaf mei volgend jaar zullen er ook strengere eisen gesteld worden aan de verwerking van persoonsgegevens, dat wordt ook wel verantwoordingsplicht genoemd. Gemeenten dienen daarbij te allen tijde te kunnen aantonen dat de juiste organisatorische en technische maatregelen zijn getroffen om de organisatie en processen volgens AVG regelgeving ingericht te hebben. Organisaties die niet voldoen aan deze strengere regelgeving lopen het risico een serieuze boete te ontvangen, deze kan oplopen tot een bedrag van maximaal 20 miljoen euro. Bent u bijvoorbeeld al op de hoogte van welke informatie over uw inwoners wel en niet naar buiten gebracht mag worden?
4 tips voor het voorkomen van een boete
Deze actiepunten kunnen u een helpende hand bieden bij het voorkomen van boetes:
- Tip 1) Implementeren van een Privacy Impact Assessment (PIA) – gemeenten verwerken in grote getale persoonsgegevens. Organisaties die dit soort bijzondere persoonsverwerking als core business uitvoeren, zijn met de nieuwe Nederlandse Uitvoeringswet verplicht om een PIA te laten plaatsvinden. Een Privacy Impact Assessment is een instrument waarmee risicoverkleining gerealiseerd kan worden, door voorafgaand aan gegevensverwerking bepaalde privacy risico’s in kaart te brengen.
- Tip 2) Functionaris Gegevensbescherming aanstellen (FG) – De FG dient binnen organisaties als een interne bewaker op bijzondere persoonsgegevensverwerking. Direct gerelateerd aan het implementeren van een Privacy Impact Assessment, geldt de verplichting voor het aanstellen van een functionaris gegevensbescherming, ook voor bedrijven die in grote getalen persoonsgegevens verwerken. Echter, bij de aanstelling van een FG is de gemeente niet meer verplicht om gegevensverwerking te melden bij de Autoriteit Persoonsgegevens. Dit proces kan voortaan verlopen via de Functionaris Gegevensbescherming.
- Tip 3) Privacy by default – Binnen Privacy by default is het van groot belang dat publieke organisaties bescherming van persoonsgegevens volgens AVG richtlijnen waarborgen. Documentatie van persoonsgegevens en bijbehorende doelen is daarmee een verplicht aspect in de Algemene Verordening Gegevensbescherming. Bovendien dienen organisaties, bij alle datalekken die gepaard gaan met schadelijke privacy consequenties, de functionaris gegevensbescherming direct te informeren. Eveneens wordt er vereist dat alle datalekken op de juiste manier worden gedocumenteerd.
- Tip 4) Privacy by design – Vanaf de eerste stap in de ontwikkeling van een nieuw product of dienst is het vereist dat de focus van organisaties ligt op Privacy Enhancing Technologies (PET). Tevens het doorvoeren van dataminimalisatie, dat houdt in dat alleen de essentiële data wordt verwerkt die benodigd is voor het doel van de persoonsgegevensverwerking.
Het tijdig en juist kunnen informeren van inwoners en bedrijven zonder dat u in strijd handelt met de AVG-wetgeving is zeer belangrijk. Bent u een moderne bestuurder?
