Maak jouw gemeente AVG-compliant: 3 to do's

3 min lezen
shutterstock_324371054 (1)

shutterstock_324371054 (1)

Het aantal administratieve handelingen dat uit de Algemene Verordening Gegevensbescherming (AVG, in het Engels: GDPR) voortkomt is groot, je organisatie geeft nog weerstand en de tijd dringt. Organisaties moeten hun bedrijfsvoering sinds 25 mei 2018 in overeenstemming brengen met de AVG. Vanaf 2020 geldt aanvullend ook de NTA 7516 voor voor veilige ad hoc communicatie van gezondheidsinformatie.

Ongetwijfeld heb je al de nodige stappen gezet om de gegevensbescherming binnen jouw gemeente te verbeteren. Maar misschien is dit nog niet voldoende voor de handhaving van de AVG. Hoe weet je zeker dat je voldoet aan alle eisen? Overzicht houden is daarbij belangrijk. In dit blog geven wij een goed beeld van de stappen die je moet zetten om straks klaar te zijn voor de nieuwe wet.

Stappenplan

Begin met het samenstellen van het juiste team. Het ideale kernteam bestaat uit een jurist, een privacydeskundige en een ICT’er. Zij betrekken per afdeling de verantwoordelijke leidinggevenden en inhoudelijke specialisten.

1. Inzicht verwerven

Breng alle datastromen in kaart. Omdat dit er veel kunnen zijn, is het verstandig om te beginnen bij de belangrijkste of meest gevoelige datastromen. Op deze manier ontstaat inzicht in de structuur en infrasystemen van de gemeente.Vragen die je hierbij moet stellen zijn:

  • Welke data verzamelen we op welke plaats?
  • Waar en hoe bewaren we deze data?
  • Wie ontvangt of heeft toegang tot deze data?

Op deze manier krijg je inzicht in de infrastructuur en systemen van je organisatie.

2. Impact op de organisatie vaststellen

Om goed in te schatten wat de impact (en dus het risico) is van deze datastromen, moet je eerst weten hoe gevoelig de data is. Elke gemeente verwerkt grote hoeveelheden privacygevoelige data. Je bent verplicht deze data vast te leggen in een verwerkingsregister. Dat dwingt je om na te denken over welke persoonsgegevens je opslaat, het doel daarvan, de bewaartermijn en de beveiliging ervan. Als je het verwerkingsregister opzet volgens de richtlijnen, dan voldoe je aan de registratieplicht binnen de AVG.

Wanneer alle datastromen inclusief de impact van de data in kaart zijn gebracht, spiegelt het team deze aan de AVG door middel van een gap-analyse. Je vergelijkt de huidige situatie met de gewenste situatie. Hieruit volgen maatregelen om de gaten op te vullen. In sommige gevallen zijn hiervoor al interne richtlijnen beschikbaar die je kunt bijwerken. In andere gevallen is het nodig om nieuwe regels op te stellen.


3. Beleid vormen en in stand houden

Het register en de gap-analyse vormen de basis voor het maken van aanvullend beleid. Op basis van het register stel je een privacy policy op, zowel voor de externe stakeholders als voor je eigen medewerkers. Deze policy stel je ter beschikking aan alle betrokkenen. De policy heeft als doel de betrokkenen vooraf te informeren over de persoonsgegevens die je verzamelt en hen te wijzen op hun rechten. Meestal nemen gemeenten de interne privacy policy op in het huishoudelijk reglement en stellen hem beschikbaar op intranet. Zo is hij gemakkelijk te raadplegen voor medewerkers.

Om ervoor te zorgen dat medewerkers de regels uit de privacy policy naleven, is het noodzakelijk dat de privacyregels voor hen gaan leven. Ze moeten onderdeel uitmaken van de dagelijkse praktijk. Een functionaris gegevensbescherming ziet toe op naleving van de AVG. Een gemeente is verplicht om deze interne privacytoezichthouder aan te stellen. Bovendien is herhaalde training nodig voor alle medewerkers die met persoonsgegevens werken. Als je hen bewust maakt van mogelijke privacyrisico’s van hun werk en dit combineert met een veilige inrichting van applicaties, veilige communicatiestromen en de inzet van veilige tools, dan heb je grote stappen gezet richting een AVG-compliant gemeente.

 

Checklist GDPR

In onze GDPR Checklist staan de benodigde stappen richting AVG-compliance. Hij gaat dieper in op het opstellen van een verwerkingsovereenkomst, het verkrijgen van toestemming voor het verwerken van persoonsgegevens, de te nemen beveiligingsmaatregelen en de meldplicht datalekken.

 Klik hier om de checklist GDPR te downloaden 

Geschreven door
Picture of Eva Malten

Eva Malten

Eva studeerde Nederlandse taal en cultuur in haar favoriete stad: Utrecht. Daarna ontwikkelde ze zich tot communicatiemedewerker en werkte bij diverse uitgeverijen en de Bibliotheek Utrecht. Ze houdt van lezen en schrijven en is gespecialiseerd in compacte teksten met een heldere boodschap. Ze voelt zich thuis in het energieke en enthousiaste team van ZIVVER. In haar vrije tijd gaat Eva met haar gezin op stap in Utrecht of staat ze in de keuken om een taart te bakken.

Gepubliceerd op januari 29, 2018

Laatst gewijzigd op februari 9, 2021