Privacy en AVG

Met de invoering van de Algemene Verordening Gegevensbescherming (AVG) in 2018 heeft de gemeente Rotterdam een verplichting ten aanzien van het privacybeschermingsniveau van zowel burgers, ondernemers als medewerkers. Betrokkenen moeten er te allen tijde op kunnen vertrouwen dat de persoonsgegevens die de gemeente Rotterdam van hen verwerkt in veilige handen is. Daarnaast heeft de gemeente een verantwoordingsplicht. Dit houdt in dat de gemeente aan kan tonen dat zij aan de AVG voldoet.

Tevens blijkt dat de privacy bewustzijn in de samenleving groeit. Burgers zijn kritischer en veeleisender geworden ten aanzien van de wijze waarop met hun privacygevoelige gegevens wordt omgegaan. Met de komst van de AVG zijn tevens ook de privacyrechten versterkt en verbreed.

Het programma Rotterdam Privacy Proof heeft in 2018 gezorgd voor een basis en heeft de fundering gelegd voor de implementatie in de organisatie. Zo is er een privacybeleid, een register van verwerkingen en een datalekkenregister. Daarnaast is het proces rondom Rechten van Betrokkenen ingericht en wordt regelmatig aandacht besteed aan de privacybewustwording binnen de organisatie. Hoewel de gemeente Rotterdam formeel in control is, is het de komende jaren van belang materieel verder in control te raken op het gebied van de AVG. Dit houdt in dat de implementatie van de AVG naar een hoger niveau getild moet worden met als uiteindelijke doel privacy als vanzelfsprekend onderdeel van de gemeentelijke organisatie. De komende tijd zal de aandacht daarom steeds meer uitgaan naar Privacy by Design, het uitvoeren van Gegevensbeschermingseffectbeoordelingen (PIA) en het verder vergroten van het privacy bewustzijn.
 

Datalekken
Datalekken zijn incidenten waarbij persoonsgegevens (mogelijk) in handen zijn gekomen van onbevoegden. Organisaties zijn verplicht zo’n datalek binnen 72 uur te melden aan de Autoriteit Persoonsgegevens (AP). Ook wordt de raad hierover geïnformeerd.

Vanaf januari 2019 zijn er 114 datalekken geweest waarvan er 79 bij de AP zijn gemeld. Over heel 2018 waren dat er 108. Het aantal datalekken neemt dus nog niet af, maar dit laat ook zien dat medewerkers zich in toenemende mate bewust zijn van de zorgvuldigheid die hoort bij het omgaan met persoonsgegevens. De aard van de datalekken blijft constant; zo ontstaan de meeste datalekken door verkeerd geadresseerde post of email.
Ook voor 2020 en verder blijft de bewustwording een belangrijk onderdeel van de implementatie van de AVG. Alle datalekken worden geëvalueerd. Voor het komende jaar wordt gevolgd of de evaluatie ook daadwerkelijk tot het nemen van maatregelen heeft geleid.