Bent u al klaar voor de AVG?
Op 25 mei 2018 volgt de Algemene Verordening Gegevensbescherming (AVG) de Wet bescherming persoonsgegevens (Wpb) op. De AVG heeft impact op de organisatie, processen en informatievoorziening van gemeenten. Lukt het uw organisatie om op tijd AVG compliant te zijn.
Wat betekent de AVG voor gemeenten?
De Vereniging van Nederlandse Gemeenten (VNG) heeft in een ledenbrief eind 2015 al duidelijk gemaakt dat de AVG invloed heeft op alle beleidsterreinen waar persoonsgegevens worden verwerkt. In een andere ledenbrief werkte de VNG de impact van de AVG op gemeenten en (gemeentelijke) organisaties verder uit. Kort samengevat gaat het om de volgende punten:
- Gemeenten moeten een Functionaris gegevensbescherming (FG) aanwijzen.
- Voor een natuurlijk persoon moet het duidelijk zijn dat zijn gegevens worden verwerkt. Ook moet duidelijk zijn welke gegevens dit zijn, hoe dit gebeurt en vanwege welke wet.
- Gemeenten moeten via actief beleid en doeltreffende maatregelen uit zichzelf zorgen dat ze de AVG naleven. Alleen gevraagd of ongevraagd informeren over het doel en de manier van verwerken is niet meer voldoende.
- Burgers hebben het recht te worden ‘vergeten’. Dit betekent dat ze uit databases verwijderd moeten kunnen worden, behalve als dit om wettelijke redenen niet kan. Dit betekent ook dat gemeenten een goed beeld moet hebben op basis van welke wettelijke grondslag ze gegevens verwerken.
- Burgers hebben het recht om data van zichzelf mee te nemen naar een andere dienst. Dit heet dataportabiliteit. Dit betekent ook dat ze het recht hebben op een kopie van de persoonsgegevens die een gemeente over ze heeft verzameld.
- Gemeenten mogen geen besluiten nemen over burgers die alleen gebaseerd zijn op geautomatiseerde verwerking van gegevens. Denk aan profilering en (big) data analytics.
- Gemeenten moeten zowel technisch als organisatorisch voldoende maatregelen nemen om ervoor te zorgen dat persoonsgegevens alleen voor strikt noodzakelijk taken verwerkt worden. Ook mogen persoonsgegevens niet met een onbeperkt aantal personen gedeeld worden. Privacy by design en privacy by default worden de uitgangspunten.
- Gemeenten moeten een impactanalyse uitvoeren als ze nieuwe gegevens gaan verwerken of gegevens anders gaan verwerken. Dit om te beoordelen of ze de gegevens op een verantwoorde manier verwerken. De Autoriteit Persoonsgegevens stelt zo’n gegevensbeschermingseffectbeoordeling verplicht.
Quarant helpt met de Algemene Verordening Gegevensbescherming
Quarant helpt gemeenten bij de invoering van de AVG. Bijvoorbeeld met een impactanalyse van de AVG op proces, informaties, organisatie en medewerkers. Neem voor meer informatie contact op met Adrie van Bohemen 06 533 714 87 of adrie.van.bohemen@quarant.nl.