033 200 30 83
De overheid heeft een voorbeeldfunctie bij de naleving van wettelijke en verdragsrechtelijke normen en burgers moeten erop kunnen vertrouwen dat hun gegevens goed zijn beschermd. In de afgelopen jaren hebben zich echter meerdere situaties voorgedaan waarin overheden (zowel op rijksniveau als decentraal) tekort bleken te schieten in de naleving van de AVG. Op 28 juni 2021 is door de minister van Binnenlandse Zaken en de minister voor Rechtsbescherming overeengekomen dat onderzoek moet worden gedaan naar de naleving van de AVG door overheden.
In december 2022 zijn de resultaten van dit onderzoek gepubliceerd (download hier het volledige rapport).
De centrale vraag die is onderzocht luidt als volgt:
Wat zijn de meest voorkomende onduidelijkheden en problemen binnen overheidsorganisaties bij naleving van de AVG en welke oorzaken vallen daarvoor aan te wijzen?
Voor de beantwoording van deze vraag is een verkenning van het huidige beeld over de naleving van de AVG door overheden opgesteld, dat vervolgens door middel van een negental casestudy’s bij verschillende overheidsorganisaties is verdiept. Aan de hand van de verkenning en casestudy’s is een nieuw beeld geschetst, op basis waarvan een aantal aanbevelingen is geformuleerd.
Bevindingen uit de casestudy’s
Typen organisaties
Het type uitvoeringsorganisatie kan van invloed zijn op naleving van de AVG. Overheidsorganisaties die werken met bijzondere persoonsgegevens zijn zich sterker bewust van het belang van de AVG en hebben steeds een goed uitgewerkte privacy-organisatie ingericht. In kleinere organisaties lijken privacyfunctionarissen makkelijke herkenbaar en benaderbaar, terwijl in grote organisaties in personele zin meer mogelijkheden bestaan om gekwalificeerde medewerkers aan te trekken en aan zich te binden.
Beleid en organisatie
Bij alle bestudeerde organisaties is geconstateerd dat er een actueel en compleet privacybeleid is opgesteld. Bij alle organisaties is er een vorm van het three lines of defence-model met het bestuur als verwerkingsverantwoordelijke (waarbij deze verantwoordelijkheid gemandateerd wordt in de lijnorganisatie), privacyfunctionarissen (CPO en andere privacy officers) als ondersteuning en een FG als adviseur en toezichthouder. In de tweede lijn zijn ook vaak de security officer en de Chief Information Officer gepositioneerd, die verantwoordelijk zijn voor het informatievoorzienings- en digitaliseringsbeleid en het beheer van de informatiesystemen.
De praktijksituatie
In de casestudy’s was het niet mogelijk precies vast te stellen hoe het met de naleving van de AVG in het concrete handelen van medewerkers was gesteld. Hooguit is op basis van beschikbare documenten en uitspraken van betrokkenen in algemene zin het nalevingsniveau bepaald en/of de richting waarin zich dat ontwikkelt.
Er is geconstateerd dat bij alle organisaties veel aandacht is voor kennisontwikkeling en het belang van houding en gedrag. Wel is duidelijk dat het kennisniveau tussen medewerkers verschilt en nog niet altijd voldoende is. Hierbij speelt mee dat het gegevensbeschermingsrecht een ingewikkeld rechtsgebied is en antwoorden op vragen niet altijd eenvoudig te geven zijn. Vervolgens spelen tijdsdruk en de dominantie van beleidsdoelen een verstorende rol; vooral bij het bestudeerde departement en gemeenten komt dit effect in sterke mate terug.
Bij het bestuur en management van de bestudeerde organisaties is geconstateerd dat die over het algemeen relatief veel aandacht hebben voor het belang van naleving van de AVG, maar dat opvolging van adviezen vanuit de privacy-organisatie soms toch achterwege blijft. Extra complicerend is dat AVG-vragen en uitdagingen door de eerste lijn vaak laat of zelfs niet worden herkend. Het opstellen van DPIA’s is niet altijd op orde; dit gebeurt soms te laat en soms op basis van onvoldoende privacy-expertise. De protocollen voor datalekken zijn doorgaans wel goed opgesteld en worden ook goed nagevolgd.
Knelpunten
Naast het hierboven genoemde knelpunt van dominantie van beleidsdoelen en doelmatigheidsoverwegingen, is een tweede knelpunt de bezetting van posities in de privacy-organisatie, mede vanwege de krappe arbeidsmarkt. Hierdoor worden privacyfunctionarissen soms uit hun rol getrokken vanwege ontbrekende kennis of capaciteit elders in de organisatie. Als derde knelpunt is geconstateerd dat naleving van de AVG soms wordt vertaald naar een sterke focus op techniek en beveiliging, maar minder naar de bescherming van persoonsgegevens en het waarborgen van dat belang in alle processen binnen de organisatie.
Conclusie
In de casestudy’s blijft het beeld overeind dat aandacht voor correcte verwerking van persoonsgegevens na invoering van de AVG een positieve ontwikkeling heeft doorgemaakt, maar nog niet op het gewenste niveau is. De kennis van de AVG bij overheden neemt toe. Maar dat betekent niet dat naleving van de AVG altijd vanzelfsprekend is. Dat is vaak geen bewuste keuze. Soms ontbreekt voldoende besef dat het beoordelen van AVG-aspecten vooraf moet gaan aan een verwerking van persoonsgegevens. Een enkele keer is expliciet sprake van een keuze om niet na te leven, en is de beleidsdoelstelling leidend ten koste van AVG-naleving. Dan zou echt gesproken kunnen worden van tekortkomingen op ‘willen’. Maar dat zijn eerder de uitzonderingen die de regel, het gaat steeds beter met de naleving van de AVG, bevestigen.
Aanbevelingen
Het onderzoek leidt tot een aantal aanbevelingen gericht op versterking van de naleving van de AVG binnen overheidsorganisaties.
- De onderzoekers raden de minister voor Rechtsbescherming en de minister van BZK aan om verdere investeringen bij overheidsorganisaties te doen en een stimulerende rol te pakken om zo de privacy-organisatie bij overheden steviger te funderen en privacybewustzijn sterker te verankeren.
- Bij de overheidsorganisaties is specifiek is aandacht nodig voor het tijdig betrekken van privacybelangen bij de ontwikkeling van projecten die gepaard zullen gaan met verwerking van persoonsgegevens, bijvoorbeeld door het tijdig opstellen van een DPIA na een serieus gesprek over de relevante processen, risico’s en data-ethische aspecten.
- Het three lines of defense-model wordt breed toegepast en bewijst zijn waarde. Het invullen van de belangrijke rollen, waaronder aandachtsfunctionarissen in de lijnorganisatie, verloopt wel moeizaam. Dit vraagt om gerichte investeringen in bestaande medewerkers, maar ook om inzet op de aanbodkant van de arbeidsmarkt door het stimuleren van opleidingen op dit gebied.
- Organisaties die bij de beoordeling en toetsing een privacy officer en de FG betrekken geven een betere inhoudelijke invulling aan hun verantwoordelijkheden. Voorwaardelijk daarvoor is de aanwezigheid van aandachtsfunctionarissen, contactpersonen of aanspreekpunten in de eerste lijn. De casestudy’s laten zien dat deze functionarissen zeer waardevol zijn als ambassadeurs van het privacybeleid van de organisatie. Zij kunnen het privacybewustzijn in de organisatie stimuleren en het belang daarvan bewaken.
- Voor management en bestuur is het cruciaal dat het belang van privacybescherming wordt benadrukt, in woord en in daad. Dit behelst voorbeeldgedrag, maar ook organisatorische borging van bescherming van privacy in de afweging tegen beleidsdoelstellingen.
- De AP lijkt als toezichthouder vooral de handhavende taak prioriteit te geven. Vanuit het veld is een duidelijke behoefte aan meer communicatie, voorlichting en sturing door de AP. Specifiek is het wenselijk om meer (informeel) contact mogelijk te maken met een meedenkend en adviserend karakter. Voor zover capaciteitsproblemen op dit vlak terughoudendheid veroorzaken, zou een uitbreiding van die capaciteit mogelijk soelaas bieden.
- De AP zou op meer punten een bredere taakopvatting kunnen kiezen. Het zou goed zijn als er meer werk gemaakt wordt van terugkoppeling bij ingediende meldingen van datalekken. Ook het systeemgerichte toezicht van de AP (momenteel slechts twee medewerkers) komt voor versterking in aanmerking, door investeringen in de capaciteit en door het bestaande netwerk van FG’s effectiever in te zetten.
Bron: samenvatting rapport
