“Een half jaar voor de privacywet AVG inging, werd ik functionaris gegevensbescherming,” vertelt Fokke Dijkstra van de gemeente Hellendoorn. “Ik had altijd al iets met IT en met privacy, dus ik was blij toen de kans zich voordeed om aan de slag te gaan als FG. Ik ben plaatsvervanger van onze CISO en hij die van mij. Daarnaast hebben we nog een privacy officer, die drie rollen zijn bij ons dus gescheiden.”
Privacy tussen de oren
De beleidsnota die Fokke en zijn collega’s opstelden voor het college beschrijft dat privacy en omgaan met gegevens mensenwerk is. En dat het daarom van belang is om te blijven investeren in kennis en bewustwording van privacy. Fokke: “Het gaat niet alleen om regels en processen, het moet vooral ook beklijven tussen de oren van iedereen die ermee werkt.”
In aanloop naar de AVG hield de gemeente in de plaatselijke schouwburg een aftrapbijeenkomst voor alle 450 medewerkers, met Maria Genova, schrijfster van het boek Komt een vrouw bij de hacker. Fokke: “Dat ging onder meer over identiteitsfraude, een gevaar dat op de loer ligt als persoonsgegevens in verkeerde handen komen. Daarin kwam wel naar voren hoe verstrekkend de negatieve gevolgen daarvan kunnen zijn. Die boodschap heeft zeker bijgedragen aan bewustwording.”
“Verder hebben we een aantal maanden via een e-learningtraject de thema’s informatieveiligheid en privacy bij onze medewerkers onder de aandacht gebracht. Wat is een datalek? Wat zijn de mogelijke gevolgen? En wat doet de Autoriteit Persoonsgegevens precies? Al met al hebben we ruim een jaar actief aandacht besteed aan bewustwording en kennisdeling. Ook houden we met rapportages B&W en onze eigen organisatie op de hoogte van wat we doen op privacygebied. Transparantie is key als het gaat om privacy.”
Transparantie in gegevensverwerking
Met de awareness zit het dus wel goed bij Hellendoorn. Daarnaast is er natuurlijk de technische kant: hoe krijg je inzicht in hoe er wordt omgegaan met privacygevoelige gegevens? Voor alle burgerzaken bracht de gemeente in kaart wie toegang heeft tot welke gegevens, binnen en buiten de organisatie. Om zeker te zijn dat er geen persoonlijke gegevens onnodig heen en weer gaan. Fokke: “Iedereen heeft alleen toegang tot de informatie die voor hem of haar relevant is. Als je bij bepaalde informatie kunt, moet dat wel toegevoegde waarde hebben voor jouw werkzaamheden. En daar hoort een verantwoordelijkheid bij.”
“De AVG, de Europese privacywet die in 2018 inging, spreekt van ‘de rechten van betrokkenen’. Dat houdt onder meer in dat burgers aan een organisatie kunnen vragen welke gegevens die over hen bewaart en waarom. Om daar invulling aan te geven, zetten we Privacy Workspace in. Die tool legt vast wat daarmee gebeurt en wie welke gegevens inziet of bewerkt. Dat betekent dat we kunnen controleren wat medewerkers hebben gedaan en wie welke gegevens heeft ingezien.
De Centric-applicaties die we bij Hellendoorn gebruiken, zijn daarvoor aan de Privacy Workspace gekoppeld. Voor al die applicaties hebben we dus zicht op wat er met de betreffende gegevens gebeurt. Er is van tevoren wel een discussie gevoerd met de OR, want ergens raakt dit aan de privacy van de medewerkers zelf.”
