Iedere organisatie moet de komende maanden concrete stappen zetten om aan de eisen van de Algemene Verordening Gegevensbescherming te voldoen. Nog niet begonnen? Of al in het proces maar behoefte aan een checklist? Jouw Gemeente Mijn Gemeente wijst de weg met dit stappenplan: The Road to… Algemene Verordening Gegevensbescherming. In dit blog stap 3 en 4: bewustwording en Privacy Impact Assesment.
Een overzicht van de stappen:
- Stap 1: stel een Functionaris Gegevensbescherming aan.
- Stap 2: zorg voor een kennisbasis over beleid en protocol.
- Stap 3: bewustwording binnen de organisatie.
- Stap 4: start met een Privacy Impact Assesment.
- Stap 5: leg datastromen vast in modellen en processen.
- Stap 6: maak afspraken met externe verwerkers.
- Stap 7: 24/7 letten op datalekken en processen maken.
- Stap 8: informeer en krijg zo de beslissers mee.
- Stap 9: informeer de burgers.
- Stap 10: begin weer bij stap 2.
Stap 3: bewustwording binnen de organisatie.
Eigenlijk geen stap maar een continu proces is het creëren van bewustwording binnen de gemeente. De AVG kan op dit moment nog een ‘ver van bed’ show zijn waardoor een campagne rond AVG (op dit moment) niet urgent is: het Meldpunt Datalekken is dat nooit.
Door het Meldpunt Datalekken als insteek van een bewustwordingscampagne te gebruiken, kan privacybeleid ook heel praktisch worden gemaakt voor ambtenaren. De AVG is toch wat abstracter en richt zich op de grote lijnen. Deze kunnen wel worden gecommuniceerd aan de hand van de belangrijke punten van het Meldpunt Datalekken.
Stap 4: start met een Privacy Impact Assesment.
Een gemeente heeft veel taken te vervullen zoals onderwijs, jeugdzorg en ruimte & omgeving. Ieder van deze 13 taken moet voldoen aan de AVG. Maar wat is de staat op dit moment? Daarvoor moet een Privacy Impact Assesment (PIA) worden gedaan.
Een PIA legt vast hoe het gesteld is met de privacy binnen de gemeentelijke organisatie. Er wordt dan vooral naar risicoprofiel, privacymanagement en naar de diverse werkprogramma’s gekeken. Belangrijk: het geeft je ook een idee van hoeveel budget er nodig is om aan de AVG te voldoen.
Een PIA is niet zelf te ontwikkelen: deze worden door specialistische bureaus vormgegeven en uitgevoerd. Waar een goede PIA aan moet voldoen en waar je als inkoper op moet letten is te lezen op de website van NOREA.
Met de uitkomsten van een PIA kunnen procesplannen worden opgesteld. Een actielijst dus die het SMART maakt wat er allemaal nodig is om te voldoen aan de AVG. Daarnaast is het ook de ruggengraat van het privacybeleid binnen een gemeente. De samenvatting van de uitkomsten per gemeentelijke taak is je Artikel 30-register, een vereiste binnen de AVG.