Data is de veenbrand van de AVG – Zeker voor de overheid!

’25 mei 2018; AVG-Day! De Algemene Verordening Gegevensbescherming wordt dan daadwerkelijk toegepast! Risico op torenhoge boetes! Alarm, paniek, help wat nu?’ Het zal je niet ontgaan zijn dat er volgend jaar mei nieuwe privacywetgeving van kracht wordt. Alle media staan er vol mee en elk datalek is een headliner.

Vanaf 25 mei 2018 gaat de Autoriteit Persoonsgegevens ook handhaven. Maar staan de handhavers van het AP op 25 mei 2018 dan ook in rijen van drie bij je aan de poort te kloppen? Geen idee, wie zal het zeggen. Feit is wel dat je dan je zaken geregeld moet hebben op het gebied van de bescherming van persoonsgegevens én de verwerking van deze gegevens. Er is dan weinig tot geen ruimte meer voor ‘clementie’ als je ‘gepakt’ wordt.

Overheid MOET het beste AVG-meisje/ jongetje van de klas zijn

Het gáát eigenlijk helemaal niet over die boetes (nou ja, misschien een beetje) maar over de manier waarop we in deze voortdenderende digitale wereld ervoor zorgen dat we onze privacy zo goed mogelijk beschermen. Daar hebben alle organisaties sowieso een belangrijke verantwoordelijkheid in, maar de overheid helemaal! En we spreken hierbij over de overheid in de breedste zin van het woord, dus de gehele publieke sector.

De overheid moet ‘AVG-technisch’ het ‘beste jongetje/ meisje van de klas zijn’. Overheden hebben een voorbeeldfunctie als het gaat om de beginselen van de AVG: rechtmatigheid, behoorlijkheid, transparantie, doelbinding, minimale gegevensverwerking, juistheid, opslagbeperking, integriteit en vertrouwelijkheid en verantwoordingsplicht.

Waar zit nu die grote wakker-ligger, het zwaard van Damocles, the crash of the century in AVG-termen voor de overheid?

Het probleem zit niet in het regelen van de ‘voorkant’: de (verwerkers)overeenkomsten, het privacystatement, het aanstellen van een Functioneel Gegevensbeheerder (een FG is verplicht voor overheidsorganisaties), het inrichten en beleggen van de meldplicht datalek en alle andere bijbehorende standaardprocedures. Dat zijn de juridische hygiënefactoren. Moet je gewoon regelen; het is natuurlijk wel veel en zeer specialistisch werk maar op zich geen rocket science.

Zit het in privacy-by-design of  privacy-by-default?

Zit het dan in de andere randvoorwaardelijke zaken zoals ‘privacy by design’? Ook niet; dit is tevens een kwestie van regelen. Stel; je gaat als overheid aan de slag met het ontwikkelen van een nieuwe dienst of product. Bijvoorbeeld de aanschaf van een nieuw paspoort via je smartphone. Je bestelt je nieuwe paspoort terwijl je op een terrasje zit, vervolgens volg je via track & trace de voortgang (uw bezorgend ambtenaar is onderweg…) en de volgende dag neem je je paspoort in ontvangst na een identiteitscheck met je vingerafdruk. Je moet dan in het proces van die nieuwe dienst/ product ‘inbakken’ dat de privacy van de burger niet in gevaar komt.

Hetzelfde geldt voor ‘privacy by default’: zorg ervoor dat je de juiste technische en organisatorische vinkjes zet (lees: standaard maatregelen nemen en standaardprocedures inrichten) om ervoor te zorgen dat je alléén persoonsgegevens verwerkt die noodzakelijk zijn voor die specifieke dienst of product. Kleine note: zo’n gemoderniseerd (werkend) bevolkingsregister was nu best handig geweest... Maar goed, dat is weer een ander verhaal.

Zit het dan in de beveiliging van je systemen en autorisaties? Je raadt het al; nee. Ook een kwestie van regelen! Nogmaals; a hell of job maar het is rechttoe, rechtaan: checken, aanpassen of ontwikkelen en borgen.

Data is de veenbrand van de AVG

Wat is het dan wel? Het feit dat het in de kern gaat om data! Het feit dat het gaat om het informatieperspectief. Het feit dat overheden immens grote informatieverwerkers zijn. Het is hun ‘core business’! Hierdoor zijn data tegelijkertijd de veenbrand, de achilleshiel, van de AVG voor de overheid.

Want heb je als overheid enig idee hoeveel en welke privacygevoelige data je allemaal bezit en wáár die zich allemaal bevinden? Uiteraard; een deel vind je in je gestructureerde systemen (bijvoorbeeld een documentmanagementsysteem). Maar je hebt een heleboel systemen. Heb je als overheid zicht op de informatieflows tússen die systemen?

Waarschijnlijk niet. Ambtenaar A trekt wat persoonsgegevens over persoon X uit systeem B op verzoek van instantie C en stuurt dit hun per mail. Medewerker van instantie C stuurt nog een appje naar ambtenaar A waar de mail met info blijft over persoon X. Ambtenaar A zit toevallig net voor een lunch buiten de deur, ziet het appje binnenkomen en stuurt voor het gemak nog even een reactie via Gmail (de demissionair minister Kamp-methode) want hij/zij kan buiten de deur niet goed bij zijn/ haar werkmail.

En zo geschiedde. Beste overheid; zie hier uw zwaard van Damocles, uw wakker-ligger; ongestructureerde data! Ruim 80% van alle data die circuleert in een organisatie bevindt zich namelijk buiten de gestructureerde systemen.

Ongestructureerde data;...

...dan hebben we het over data op (persoonlijke) netwerkschijven, in mailboxen, Dropboxen, clouds, WhatsApp/ SMS, shadow IT en ga zo maar door. Die heb je helemaal niet in beeld! Die vallen ‘off the grid’ met alle risico’s op datalekken en andere schendingen van de AVG van dien! Niet fijn voor de burgers in kwestie maar ook niet voor de overheid; haar geloofwaardigheid en betrouwbaarheid holt zienderogen achteruit in de ogen van de samenleving. En dat wil je niet.

Waar begin je als overheid?

Het betekent dat je als overheid heel goed moet nadenken over:

  1. informatiegovernance. Dit houdt in dat je een eenduidige visie en beleid formuleert voor je informatie in termen van compliance en de manier waarop de organisatie met informatie wenst om te gaan;
  2. de organisatie van je informatie: taken, verantwoordelijkheden, het beheer, je opslag, je informatiesystemen en processen, de inrichting maar ook de sturing en verantwoording. Zowel kwalitatief als kwantitatief; dus de juiste hoeveelheid middelen en mensen die ook de juiste dingen doen. Strikt genomen zou je de organisatie van je informatie ook kunnen scharen onder informatiegovernance.

Een integrale aanpak is een vereiste; in drie stappen naar AVG-compliance

Kortom: wil je als overheid AVG-compliant worden en blijven dan is dit niet zomaar ‘even’ een projectje. Het is complex en het raakt alle gelederen binnen je organisatie. Dit vereist een integrale aanpak met focus op je informatie- en datacomponent. 

  1. Je regelt de juridische aspecten: AVG-kennis is op orde en actueel, (verwerkers) overeenkomsten klaar, privacystatement op orde, meldplicht en procedures zijn spik en span. Zoals eerder gezegd; dit zijn je juridische hygiënefactoren.
  2. Je zorgt ervoor dat je informatiemanagement in lijn is met de AVG: organisatiebrede awareness, beleid, procedures en organisatie zijn op orde (incl. FG/DPO), risico’s in beeld en afgedekt en systemen zijn aantoonbaar AVG-compliant. 
  3. Last but nog least: je pakt je gestructureerde en ongestructureerde data aan; je hebt data in kaart (registers) en treft de juiste beveiligingsmaatregelen, je zorgt dat je in staat bent om te voldoen aan alle rechten van subjects (personen) en continue monitoring op je AVG-status is operationeel. Doxis Informatiemanagers helpt je met deze integrale oplossing. 

Wat maakt onze integrale AVG-oplossing effectief?

We zijn gespecialiseerd in het structureren en ordenen van informatie. We wéten hoe je wet- en regelgeving vertaalt naar en toepast op overheidsdiensten; de AVG is daarom zeker niet nieuw voor ons! Het is ons ding. Al ruim 100 jaar helpen wij vakmensen en organisaties om optimaal gebruik te maken van informatie die is opgeslagen in hun werkprocessen. Bovendien kennen we het reilen en zeilen bij de overheid als geen ander!

Daarnaast werken we samen met ervaren partners:

  • een onafhankelijk beëdigd advocaat gespecialiseerd op het gebied van privacy voor de juridische achterban.
  • specialistisch softwareleverancier Knowliah (door internationaal onderzoeks- en adviesbureau in de informatietechnologie-sector Gartner erkend als een ‘vendor to watch’ in de categorie Enterprise Search & Analytics) die als geen ander de berg (ongestructureerde) data geautomatiseerd te lijf kan gaan.

Veenbrand geblust! Mocht er dan op 25 mei 2018 een horde AVG-inspecteurs op de stoep staan, dan ben jij er in elk geval klaar voor!

Geraldine is verantwoordelijk voor de communicatie en marketing bij Doxis Informatiemanagers en al haar labels.