De evaluatie van de AVG in Zoetermeer
Weet u het nog: de introductie van de Algemene Verordening Gegevensbescherming (AVG) in 2018? De Europese verordening die veel nieuwe richtlijnen en regels over privacy met zich meebracht voor allerlei organisaties.
Tegen het doel van de AVG, het beter beschermen van de persoonsgegevens van betrokkenen, werd over het algemeen weinig ingebracht. Maar het vervolgens ook voldoen aan de richtlijnen en regels uit de AVG bleek voor veel gemeenten een forse uitdaging. En het zorgen voor een juiste vertaling van de AVG naar de organisatie, met de bijbehorende praktische uitwerking, is voor veel gemeenten anno 2022 nog steeds geen vanzelfsprekendheid.
De gemeente Zoetermeer vroeg ons om een evaluatie uit te voeren van de implementatie van de AVG in de gemeente. Voldoet de gemeente Zoetermeer aan de richtlijnen en regels, zodat de gegevens van inwoners van Zoetermeer goed worden beschermd?
Onderzoek naar implementatie én uitvoering
In ons onderzoek focusten we op de doelmatigheid en doeltreffendheid van het gevoerde beleid. Daarvoor vergeleken we allereerst de kaders uit de AVG en gerelateerde regelingen met het gemeentelijk beleid. Daarnaast voerden we interviews met alle relevante medewerkers: van de gemeentesecretaris tot de privacyfunctionaris, en van de archivaris tot de medewerkers op de werkvloer die dagelijks met de AVG van doen hebben. De medewerkers die we niet spraken gaven we gelegenheid om middels een vragenlijst hun wensen en ervaringen met ons te delen.
Uit de bovenstaande stappen kwam naar voren dat de gemeente Zoetermeer een heel eind op de goede weg is met de implementatie, maar dat er in de praktijk nog best wat knelpunten zijn. Zo bevatte de positionering van de functionaris gegevensbescherming (FG) kwetsbaarheden en hadden deze FG en de privacyfunctionaris eigenlijk te weinig tijd om hun taken optimaal te kunnen vervullen. Daarnaast lopen medewerkers in de praktijk tegen diverse knelpunten en dilemma’s aan. Zo hanteren samenwerkingspartners van de gemeente soms strengere privacyrichtlijnen of worden richtlijnen door samenwerkingspartners anders geïnterpreteerd.
We voerden interviews met alle relevante medewerkers: van de gemeentesecretaris tot de privacyfunctionaris, en van de archivaris tot de medewerkers op de werkvloer die dagelijks met de AVG van doen hebben.
Bovendien bleek dat voor medewerkers niet altijd duidelijk is hoe te handelen in het kader van de AVG. Hiervoor worden redenen gegeven als de hoge mate van verloop in de organisatie, de werkdruk of onduidelijkheid over de onderlinge rol- en taakverdeling. Tegelijkertijd gaat er ook veel goed in Zoetermeer: er zijn speciale goedbezochte workshops (zogeheten leertuinen) gegeven aan medewerkers over hoe om te gaan met de AVG-richtlijnen in het sociaal domein, die hebben bijgedragen aan het kennisniveau. Daarnaast zijn er duidelijke procedures voor het afhandelen van incidenten als datalekken, die in de praktijk ook worden gevolgd.
Bijzondere uitstap voor een onderzoek: reflectiesessie met de betrokkenen
Bijzondere stap in dit onderzoek was een reflectiesessie met de medewerkers die we eerder interviewden. Tijdens deze sessie gaven we een korte toelichting op de bevindingen tot dat moment, waarna we medewerkers vroegen of deze werden herkend en of zij hier aanvullingen bij hadden. Daarna maakten we meteen de vertaalslag naar de praktijk. Zo gaven we medewerkers de gelegenheid om zélf op basis van onze bevindingen met ideeën voor verbetering te komen waar ze mee aan de slag zouden kunnen. Op deze manier konden we tot meer toegespitste aanbevelingen komen die passen in de context van Zoetermeer.
We gaven medewerkers de gelegenheid om zélf met ideeën voor verbetering te komen waar ze mee aan de slag zouden kunnen.
De meerwaarde van een onderzoek
De reflectiesessie met betrokken medewerkers leverde concrete verbeterpunten op die we in onze aanbevelingen aan de gemeente meegaven. Zo hebben we de gemeente voorgesteld om de waarborgen voor goede gegevensbescherming completer te maken, onder andere door meer overzicht te creëren in het informatiebeheer en door de toegang tot bepaalde informatie in de zaaksystemen beter te versleutelen. Ook over de positionering van functionarissen, monitoring, periodieke controles en leersystemen deden we aanbevelingen. Zo is er een heel mooi en volledig beeld ontstaan van de werkwijze in Zoetermeer tot nu toe, en hoe de volgende stappen gezet kunnen worden.