Privacy-experts bij twee grote gemeenten: "Samenwerking op het gebied van gegevensbescherming moet beter”

Gemeenten beschikken over een enorme hoeveelheid persoonsgegevens. Ze kunnen hiermee veel impact hebben op mensen, zowel op een positieve als negatieve manier. Er zijn behoorlijk wat uitdagingen voor privacyteams binnen Nederlandse gemeenten. Met de invoering van de AVG en de eerste boetes van de Autoriteit Persoonsgegevens wordt bij de gemiddelde gemeente sterk de nadruk op het belang van compliance gelegd. Het verhaal aan de achterkant is echter anders.

Kenneth Sleijpen (Den Haag) vertelt: “Als ik naar het privacybeleid van sommige gemeenten kijk, zie ik nog steeds bovenaan ‘laatst gewijzigd 25 mei 2018’. Je zag inderdaad aan het begin dat het ontwerpen van een privacybeleid het louter kopiëren en plakken van de AVG-artikelen inhield. Een goed beleid moet echter tot op zekere hoogte concreet aantonen hoe je verantwoordelijkheid bij de verschillende processen belegt”, zegt hij. Volgens Sleijpen kan de brug tussen louter compliance en de werkelijkheid van beleidsuitvoering nog verbeterd worden. “Als je een goed privacybeleid hebt klaarstaan, hoe zorg je dat je altijd een stok achter de deur hebt en dat de bestuurders binnen jouw organisatie dit goed uitdragen? Dit soort vragen moeten meer opkomen bij privacyafdelingen”.

Roepende Cassandra’s

Ahmadi (Amsterdam) sluit zich bij Sleijpen aan. De grootste hindernis in de eerste jaren lag bij het meekrijgen van bestuurders in het privacyverhaal. “Eindverantwoordelijken hebben veel op hun bordje liggen, vaak ingewikkelde materie met diverse belangen. Vervolgens werden ze ook nog eens verantwoordelijk gehouden voor gegevensbescherming, in de breedste zin van het woord. Vanwege onbekendheid met het onderwerp en omdat men het toch wel vaak bestempelde als heel juridisch of juist heel technisch kreeg het weinig aandacht. Als de eindverantwoordelijke zijn rol niet pakte, was de uitdraging van onze boodschap richting de uitvoerders erg moeilijk”. De vergelijking die ze geeft, is die van de mythologische Cassandra, wier oproepen altijd ongehoord bleven.

Hoewel de twee juristen het toenemende bewustzijn onder gemeentelijke bestuurders waarderen en toejuichen, moeten gemeenten hun volwassenheidsniveau qua privacy opkrikken. Volgens Ahmadi en Sleijpen is er nog altijd een groot missverstand over de rol van de Privacy Officer, die ten onrechte nog als de eindverantwoordelijke voor gegevensbescherming wordt beschouwd. “Deze verantwoordelijkheid ligt echter bij de bestuurders en iedereen binnen de organisatie die met gegevens werkt. De Privacy Officer is degene die ervoor moet zorgen dat privacy op de agenda komt en blijft, dat beleid en kaders praktisch uitvoerbaar zijn en hierbij guidance bieden. Natuurlijk mag je niet als privacy-expert zeggen: “Ik heb advies gegeven, zoek het nu maar uit, succes ermee!” Ik zie dat wij een groot verschil kunnen maken als privacy professionals door gemeenschappelijke verantwoording voor privacy op ons te nemen”, aldus Ahmadi.

Asymmetrie

Naast de AVG moeten gemeenten ook aan een groot aantal EU-wetgevingsstukken voldoen op het gebied van digitalisering. Vanaf 2023 geldt dit al voor de Data Governance Act, terwijl de Data Act pas vanaf 2025 van toepassing wordt. En dan is er ook nog de AI Act die in werking moet treden, naast andere cybersecurityregelgeving, zoals de NIS2-richtlijn die organisaties al vanaf vorig jaar moeten naleven. Ahmadi en Sleijpen kijken met bezorgdheid naar het vele werk dat wordt verwacht van gemeenten. “Ik vind de initiatieven van groot belang en heel goed maar het is een grote pan soep geworden, waar van alles in zit en die decentraal over de schutting wordt gegooid – zegt Ahmadi. Wat deze situatie ingewikkelder maakt, is dat heel veel dingen nog zo onduidelijk zijn. Daar missen wij de samenwerking tussen overheidsinstellingen inzake deze grote dossiers”.

Volgens Sleijpen wordt compliance en beleid in het digitale domein een kwestie van prioriteiten. “Stel dat ik als wethouder bezig was met de goede implementatie van de NIS2-richtlijn terwijl ik intussen zie dat duizenden mensen geen uitkering krijgen of dat de buurten in mijn stad onveiliger zijn geworden, dan zou ik intuïtief mijn aandacht aan deze laatste vraagstukken besteden. Het voelt als een soort rijdende trein die stap bij stap weer een nieuw wagentje nodig heeft, terwijl ze nog bezig zijn met de onderdelen die eerder op hun bordje kwamen”. Dat geldt zowel voor de politici als de ambtenaren op gemeentelijk niveau.

Hij vervolgt: “Wat je in de praktijk ziet gebeuren is dat gemeenten nog vandaag de dag hun eigen plan trekken. Vaak gebeurt het met het inhuren van externe expertise die ze eerst bij zichzelf houden. Als ze pas op een later moment hun strategie met de andere gemeenten gaan delen, ontdekken en realiseren ze zich dat de rest met hetzelfde vraagstuk bezig was. De verwachting is dat bij belangrijke thema’s als digitaal beleid een beetje ‘common ground’ wordt gehanteerd, maar helaas is dat niet altijd zo”.

Voor de kleintjes uitdagender

Zowel Ahmadi en Sleijpen werkte in het verleden bij kleinere gemeenten. Als grotere organisaties al worstelen met dit proces, dan is het voor “de kleintjes” veel uitdagender. Die beschikken immers niet over hetzelfde budget, over dezelfde mankracht en middelen. De twee juristen roepen dus de ministeries en de VNG, en vooral de Autoriteit Persoonsgegevens (AP), op om een actievere rol te spelen. Bij grotere gemeenten is het vrij eenvoudig om de ministeries en de privacytoezichthouder in de loop te houden, terwijl dit niet zo vanzelfsprekend is voor de kleinere partijen. “Met hen gaat de AP minder in gesprek, volgens mij. Hetzelfde geldt voor de Rijksoverheid. Het is waar dat ze wel bijgetrokken zijn bij pilots ook in kleinere dorpjes. Toch merk je wel wat terughoudendheid, vooral van de AP, om daar hun stem iets meer te laten klinken”.

Net zoals Sleijpen, begrijpt Ahmadi dat de AP zich aan haar onafhankelijke mandaat moet houden en dat er niet verwacht kan worden dat er bij elk vraagstuk snel advies wordt aangedragen. “Maar als gemeente ben je toch nieuwsgierig hoe de toezichthouder naar je plannen kijkt. Dat ligt nu vaak erg achteraf. We moeten ons blijven afvragen wat de implicaties zijn voor de kleinere gemeenten die met hun eigen problemen te maken hebben die niet per se op de agenda van de grotere steden staan. Hoe zorgen wij dat ze ook de juiste aandacht en hulp kunnen krijgen?”.