Samen voor Zorg en Veiligheid

gegevensdeling binnen het zorg- en veiligheidsdomein

Blog: Het mag wèl van de AVG!

12-08-2022 12:00

‘Het mag niet van de AVG!’: een veel gehoorde klacht in gemeenteland. In deze blog legt Johannes Homan (privacyadviseur IBD) uit dat er ten aanzien van de AVG meer mogelijk is dan men vaak denkt. En hij legt uit waarom het belangrijk is om bij nieuwe beleidsplannen in een vroeg stadium na te denken over gegevensbescherming.

In aanloop naar 25 mei 2018 (weet u het nog??) was er veel onduidelijkheid over de AVG. Wat zou er veranderen op het gebied van gegevensbescherming? De hoofdboodschap tijdens de AVG-cursussen was: De AVG is veel strenger dan de Wbp en als gemeenten zich niet aan de AVG houden, kunnen zij een boete krijgen die kan oplopen tot wel € 20 miljoen, of 4% van de jaarlijkse omzet! Hiermee was de toon gezet: Voorkomen is beter dan genezen. Wat eerst wel mocht, zou na 25 mei 2018 niet meer mogelijk zijn. Had de afdeling Werk en Inkomen – na maandenlang broeden – een mooi plan bedacht om bepaalde inwoners te benaderen voor inkomensondersteuning, dan draaide die vervelende privacy officer/FG het plan de nek om met de mededeling: ‘Het mag niet van de AVG!’

En zo is de AVG verworden tot een spelbederver van veel nieuwe gemeentelijke plannen. En de privacy officer/FG tot de boodschapper van dit zure nieuws.

We zijn inmiddels ruim vier jaar verder sinds de invoering. Is de AVG nou echt die vervelende spelbederver? Nou, dat valt best mee. Niet alles is mogelijk, maar er kan meer dan men soms denkt. Daarom hier een korte handreiking die u in de gemeentelijke organisatie kunt verspreiden. Zo maakt u uzelf als privacy officer/FG het leven wat makkelijker en hoeft u niet altijd weer die boodschapper van het slechte nieuws te zijn.

  • Verwerkt de gemeente persoonsgegevens bij de uitvoering van een bepaalde taak? Zo ja, breng dan eerst eens in kaart welke gegevens worden gebruikt en wat er precies met die gegevens gebeurt.
  • Kijk vervolgens naar de wet die de gemeente uitvoert, zoals de Participatiewet, of de Wet milieubeheer. Vaak staan daarin al de nodige regels hoe u bij de uitvoering van deze wet moet omgaan met persoonsgegevens en wat daarbij wel of niet mag. Heeft u voor de uitvoering van deze wet te weinig houvast voor de verwerking van persoonsgegevens. Pas dan kijkt u naar de AVG.
  • De AVG zegt dat de verwerking ten dienste moet staan van de mens (overweging 4 van de AVG). Dat is een positief uitgangspunt.

Aan de verwerking van persoonsgegevens zijn wel voorwaarden verbonden: zorg voor een grondslag en doelbinding. Kan het ook anders? Kan het met minder persoonsgegevens? Is het voor alle betrokkenen helder wat de gemeente doet? Daarbij vraagt de AVG van gemeenten dat zij verantwoording afleggen over de verwerking van persoonsgegevens. Is de uitvoering van deze taak in overeenstemming met het privacybeleid? Staat de verwerking in het register van verwerkingen? Moet voor deze verwerking een DPIA worden opgesteld?

  • Gemeenten kunnen afwijken van de AVG. Maar dat moeten zij wel kunnen verantwoorden. Leg afwijkingen daarom gemotiveerd vast!
  • Ten slotte, maar wel heel belangrijk: betrek de privacy officer/FG bij de ontwerpfase van gemeentelijke plannen. Als de plannen al bijna in beton zijn gegoten en schuren met de privacywetgeving, kan de privacy officer/FG vaak alleen maar zeggen: ‘Het mag niet van de AVG’, in plaats van: ‘Zo mag het niet. Zal ik meedenken hoe het wel kan?’ Zo voldoen gemeenten meteen aan een andere voorwaarde van de AVG: ‘privacy by design’.

Kortom, de AVG is niet altijd die spelbederver van goede gemeentelijke plannen. Als gemeenten bij de ontwerpfase rekening houden met gegevensbescherming en hun plannen goed motiveren, kan de privacy officer/FG in veel gevallen zeggen: ‘Het mag wel van de AVG!’

Johannes Homan, privacyadviseur IBD