Terug
-

Implementatie van de AVG binnen de gemeentelijke organisatie

Datum: 25-05-2018
Blog

In aanloop naar 25 mei zijn organisaties volop bezig met invoering van de Algemene Verordening Gegevensbescherming (AVG). Dat geldt zeker voor gemeenten waar vanwege wettelijke taken dagelijks veel persoonsgegevens worden verwerkt. Nieuw is dat elke verantwoordelijke organisatie (1) moet laten zien verantwoorden en bewijzen) dat veilig met persoonsgegevens
wordt omgegaan en de privacy van personen wiens gegevens worden verwerkt (2), wordt gerespecteerd.

Deze actieve verantwoordingsplicht stelt gemeenten voor de praktische uitdaging inzicht te krijgen in wat er met persoonsgegevens gebeurt. Vragen als ‘bij welke werkprocessen worden persoonsgegevens verwerkt?’ en ‘voor welk doel?’, raken de gehele gemeentelijke organisatie en moeten inzicht geven om aan de plicht te voldoen de nieuwe rechten van burgers te eerbiedigen. De gemeente moet in kaart brengen voor welke doelen persoonsgegevens worden verzameld en verwerkt, het zogenaamde verwerkingsregister. Ook moet worden bevestigd of bewerkstelligd dat alleen de persoonsgegevens die minimaal noodzakelijk zijn voor het vooraf bepaalde doel, worden verwerkt (minimale gegevensverwerking).

In het verwerkingsregister moet ook worden ingevuld hoe lang persoonsgegevens (moeten) worden bewaard. Uitgangspunt is ‘niet langer dan nodig is’. Voor een gemeente kan dat nodig zijn om wettelijke taken goed uit te kunnen oefenen of wettelijke verplichtingen te kunnen naleven. Maar er kan ook sprake zijn van dienstverlening in het financieel of sociaal domein op basis van toestemming van burgers. Het in kaart brengen van de verschillende doelen en ‘datastromen’ binnen een gemeente is daarom absoluut noodzakelijk voor het naleven van de AVG.

Naast de verplichte instelling van het verwerkingsregister, zullen gemeenten ook een Functionaris Gegevensbescherming (FG) moeten aanstellen. De FG vervult een belangrijke rol bij het in kaart brengen van risico’s van gegevensverwerkingen en maatregelen om die op te vangen. Kortom, inzicht in het wettelijke kader van de AVG (middels handige tips en tools) betekent niet dat voor een gemeentelijke organisatie duidelijk is hoe de AVG praktisch in hun werkprocessen in te regelen. Daarvoor is inzicht in de werkprocessen van gemeentes noodzakelijk, in combinatie met een praktische vertaalslag van de nieuwe verplichtingen van gemeenten naar rechten van burgers.

De auteur Karolina Dorenbos heeft 16 jaar ondernemings- en arbeidsrechtelijke ervaring opgedaan in advocatuur, rechterlijke macht en het bedrijfsleven. Karolina is bovendien docent privacy recht bij OSR en geeft trainingen over privacy op de werkvloer alsmede over invoering van de AVG. Karolina is advocaat bij L&A advocaten, een Nederlands arbeidsrecht nichekantoor te Amsterdam.

1) De ‘verwerkingsverantwoordelijke’ is degene die beslist of, en zo ja welke gegevens worden verwerkt, met welk doel dat gebeurt en op welke wijze.
2) 'Betrokkenen’.

Zelf volledig op de hoogte van de AVG?

Twijfelt je of je klaar bent voor de AVG als jurist, ondernemer of in een andere rol? OSR Juridische Opleidingen heeft dit jaar rond de AVG al ruim 1200 mensen getraind en heeft nog een aantal opleidingen gepland staan.

Of het nu gaat om een compacte inleiding op de AVG of een volledige opleiding tot Data Protection Officer, afhankelijk van jouw opleidingsvraag is OSR de juiste partner!