Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens (AP) probeert wat stress weg te nemen door in ieder interview aan te geven dat er eigenlijk niet zo veel verandert. Veel van de afspraken over het verwerken van persoonsgegevens bestonden al onder de Wet bescherming persoonsgegevens (Wbp), dus organisaties die deze wet al goed hebben geïmplementeerd moeten alleen nog de spreekwoordelijke puntjes op de ‘I’ zetten. Maar is dit in de praktijk ook zo?
Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens (AP) probeert wat stress weg te nemen door in ieder interview aan te geven dat er eigenlijk niet zo veel verandert. Veel van de afspraken over het verwerken van persoonsgegevens bestonden al onder de Wet bescherming persoonsgegevens (Wbp), dus organisaties die deze wet al goed hebben geïmplementeerd moeten alleen nog de spreekwoordelijke puntjes op de ‘I’ zetten. Maar is dit in de praktijk ook zo?
De grote verandering van de Wbp naar de AVG is de verschuiving van vertrouwen naar bewijzen. Onder de AVG heeft de verwerkingsverantwoordelijke een documentatie- en verantwoordingsplicht. Of zoals de heer Wolfsen het noemt: “Organisaties zullen een boekhouding moeten opzetten en bijhouden over data.” Niet direct een puntje op de ‘I’ wanneer het gaat over een gemeente met zo’n 1000 werkprocessen waarvan ongeveer 85% persoonsgegevens bevatten.
Een boekhouding over data
Waar begin je als organisatie met het opzetten van deze boekhouding over data? Artikel 30 van de AVG verplicht organisaties een verwerkingsregister voor persoonsgegevens te hebben en biedt een uitgebreide beschrijving van de elementen die dit moet bevatten. Het registreren van de naam en contactgegevens van de functionaris Gegevensbescherming valt qua inspanning nog wel onder de categorie puntjes op de ‘I’ zetten, maar de overige elementen vragen een aanzienlijke inspanning.
Om de AVG goed te kunnen implementeren is het aan te raden om een inventarisatie te maken van alle werkprocessen die een organisatie uitvoert en dan per proces te bekijken:
- of er persoonsgegevens worden verwerkt;
- welke (categorie) persoonsgegevens er worden verwerkt;
- in welke systemen dit gebeurt;
- hoe deze systemen zijn beveiligd (op hoofdlijnen);
- welke categorieën verwerkingen plaatsvinden;
- wat het doeleinde is van de verwerking;
- wat de grondslag is van de verwerking;
- wie de verwerkers zijn (de proceseigenaar);
- wat de bron van de gegevens is (de persoon zelf of een registratie);
- of er sprake is van doorgifte van de gegevens en zo ja wie de ontvangers zijn (inclusief doorgifte naar derde landen of internationale organisaties);
- of er verwerkersovereenkomsten zijn afgesloten; en
- hoe lang de persoonsgegevens worden bewaard en hoe ze worden vernietigd.
Dit zijn meer elementen dan alleen de verplichte onderdelen uit artikel 30 van de AVG die in het verwerkingsregister moeten worden opgenomen. Dit is een bewuste keuze omdat op deze manier een centraal referentiepunt ontstaat waar álle AVG-informatie kan worden opgehaald op het moment dat dit nodig is. Dit kan zijn als een betrokkene zich beroept op een van de rechten onder de AVG, als de AP inzage vraagt, of als er zich een datalek voordoet.
Model-DSP als centrale inventarisatie (werk-) processen
Om dit in kaart te brengen voor de honderden werkprocessen die een gemeente uitvoert is een aanzienlijke operatie. Gelukkig bestond er al een basis in de vorm VIND Informatiemanagement bestaande uit o.a. het Model-DSP – een complete inventarisatie van alle werkprocessen en alle informatie die daarin een rol speelt – en de i-Navigator – de tool die inzicht, overzicht, mutatie en distributiemogelijkheden van Model-DSP-metadata naar uitvoerende applicaties faciliteert. Voor de redactie van het Model-DSP was het een kleine stap om vanuit deze basis aan de slag te gaan met de AVG. Voor alle processen zijn de bovengenoemde elementen nagelopen en zijn de AVG-metadata die op centraal niveau kunnen worden vastgesteld toegevoegd. Ook is op alle processen dataminimalisatie toegepast.
De gemeente Huizen koos voor de i-Navigator als centraal referentiepunt voor de AVG-implementatie. Iris Janssen, interim-coördinator IDV van de gemeente Huizen: “Als je kijkt naar het aantal processen dat wij als gemeente gebruiken zit je op zo’n 400 tot 450 werkprocessen. Als je van al die processen moet gaan bepalen wat we wel en niet vastleggen aan persoonsgegevens en we ook nog hadden moeten kijken wat we eigenlijk vast mogen leggen, dan had dat onze organisatie heel veel capaciteit gekost. Nu heb je de basis al – we weten op basis van de metadata in het model- DSP wat we mogen vastleggen en wat de standaard is – dus je hoeft in je eigen organisatie alleen nog op zoek te gaan naar de verschillen.”
Dat is ook de ervaring van Ben Bilyj, coördinator Informatiebeheer bij de gemeente Heemskerk: “De i-Navigator is een goede tool om te visualiseren welke werkprocessen er zijn. Hierin komen veel takken van sport samen, dat zie je nu met de AVG-implementatie. De AVG-metadata maken het proces completer en zo kunnen wij beter onderscheiden waar privacygevoelige gegevens zitten en wat de selectie- en vernietigingstermijnen zijn.”
De i-Navigator speelt binnen de gemeente Heemskerk een belangrijke rol in het privacy-bewustzijn van de organisatie. Monica Braun, procesanaliste bij de gemeente Heemskerk: “Ik merk dat het nog niet duidelijk is wat de AVG nu eigenlijk betekent, ondanks dat het een lange aanloop heeft gekend. Door in gesprek te gaan op basis van de i-Navigator zie je dat het bij medewerkers de ogen opent. Het wordt tastbaarder en spreekt meer.”
Uit de vele reacties blijkt dat organisaties het idee van het Model-DSP als basis voor AVG-implementatie hebben omarmd. Dit heeft geleid tot nieuwe inzichten en nieuwe functionaliteit, waaronder de mogelijkheid tot het toevoegen van invulvelden waarin de lokale situatie kan worden afgezet tegen de modelsituatie. Ook kan per verwerker worden aangegeven of er een verwerkingsovereenkomst is afgesloten en waar deze te vinden is.1 Dit najaar zal per proces worden toegevoegd of een privacy impact assessment wordt aangeraden.
Er is dus geen apart registratiesysteem nodig om de ‘AVGboekhouding’ bij te houden. Wanneer een organisatie een abonnement heeft op het Model-DSP heeft ze deze tooling al in huis. Iris Janssen: “Vooral omdat we de i-Navigator in de gemeente Huizen al hadden draaien en het onderdeel is van de standaardoplossing, ben je wel gek als je daar zelf nog iets voor zou gaan ontwikkelen.”
De i-Navigator helpt ook de functionarissen Gegevensbeheer (FG) op weg in de inventarisatie van persoonsgegevens binnen de werkprocessen. “In de gemeente Huizen heeft de FG toegang tot de i-Navigator om daar AVG-zaken vast te leggen. Er zijn duidelijke afspraken welk onderdeel zij wel of niet mag bewerken. De FG kan zich zo richten op invulling van de AVG en het team IDV op de processen voor het zaakgericht werken.” Ook de gemeente Heemskerk zal dit op een soortgelijke manier gaan organiseren. “Onze ervaring was dat de FG de AVG-implementatie heel theoretisch en op een abstract niveau aanvloog met focus op beleid en procedures. Vaak zijn privacy officers medewerkers met juridische kennis maar met minder kennis van de praktijk en de processen. Daar vullen de vakgebieden elkaar mooi aan”, aldus Monica Braun en Ben Bilyj. Iris Janssen: “Er komen meerdere disciplines samen in de i-Navigator, dus daar zul je de samenwerking op moeten zoeken. Dat maakt het voor ons vanuit de hoek van informatiebeheer nog interessanter.”
Actueel overzicht
Een bijkomend voordeel van inzet van het Model-DSP is dat, wanneer er nieuwe werkprocessen voortvloeien uit nieuwe of veranderde wet- en regelgeving of normenkaders, deze direct, inclusief de AVG-metadata behorende bij het proces, opgenomen worden. Zo blijft niet alleen het over zicht van de informatiehuishouding actueel, maar ook het centrale verwerkingsregister. Voor de release in april zijn de processen getoetst aan de Privacy Baseline van het CIP (Centrum voor Informatiebeveiliging en Privacybescherming). Dit heeft geleid tot de aanpassing van bestaande en de toevoeging van nieuwe werkprocessen waaronder de processen die betrekking hebben op de nieuwe rechten van betrokkenen onder de AVG.
Voor de gemeente Huizen was de totaalaanpak rondom privacy en informatieveiligheid een belangrijke reden om de i-Navigator in te zetten voor de AVG-implementatie. “Voor ons is het werken met de i-Navigator een mooie aanvulling die bij onze manier van werken past.” Met name ook omdat Huizen heeft gekozen voor de inzet van het ISMS van Recourse2, waarvoor VHIC de normenkaders op het gebied van informatieveiligheid heeft vertaald naar maatregelensets die direct zijn gekoppeld aan processen in het Model- DSP. “Op die manier maken we in Huizen de cirkel rond: we hebben straks de i-Navigator waarin alle werkprocessen beschreven staan, de verantwoording vindt plaats via het ISMS en de daadwerkelijke verantwoording vind je terug in het zaaksysteem.” Zo wordt informatieveiligheid en privacy een onderdeel van je totale proces- en daaraan gekoppelde informatiehuishouding.
En zo krijgt Aleid Wolfsen toch gelijk en wordt het in overeenstemming komen met de AVG bijna zo simpel als de puntjes op de ‘I’ zetten.
t.vanheijst@vhic.nl, Tineke van Heijst is directeur van VHIC.
Noten
1 Deze velden zijn onderdeel van de release van april 2018.
2 ISMS is een information security management system. Het doel hiervan is o.a. het continu beoordelen welke beveiligingsmaatregelen passend zijn en deze indien nodig bijstellen. Het Recourse ISMS is gevuld met relevante normenkaders en daarbij passende maatregelensets en wordt actueel gehouden door dezelfde professionele redactie als van het Model-DSP.