Nadat een matige voorbereiding op de AVG heeft geleid tot achterstanden bij de implementatie bij gemeenten, komt de naleving nu, bijna een jaar nadat de AVG van toepassing werd, langzaam op gang, zo ziet onderzoeker Jeroen van Dijk in zijn afstudeerscriptie voor de Juridische Hogeschool Avans-Fontys Tilburg. Omdat de FG nog niet standaard wordt betrokken bij de opzet van verwerkingsprocessen en vaak pas achteraf toetst, gaat het op onderdelen nog niet zoals gewenst.

Daarnaast blijken er grote discrepanties te bestaan in wat er binnen de organisatie gebeurt. Zo is in veel gemeentelijke organisaties veel gedaan aan bewustwording van het personeel, maar is dat besef er bijvoorbeeld in het hoger en lijnmanagement veel minder, waardoor de organisatie als geheel niet of nauwelijks AVG-bewust is. Dat lijkt vooral te liggen aan de voorbereiding. In de aanloop naar de implementatie van de AVG en de maatregelen op het naleven ervan, zijn hoofdzakelijk de FG en de CISO betrokken geweest. Verder werd de verantwoordelijkheid voor het hele AVG-project hoog in de organisatie gelegd, en kreeg de werkvloer vooral bewustzijnscursussen. Binnen de organisatie is dus een flink gat tussen verantwoordelijkheid en naleving.

Gebrek aan kennis

“Ondanks dat er veel aandacht is besteed aan bewustwording de afgelopen tijd, is het nog niet voldoende geweest om alle neuzen dezelfde kant op te krijgen. Dit zal daarom de komende jaren nog op de agenda’s van gemeenten staan. Dit komt mede door een gebrek aan kennis en verantwoordelijkheidsgevoel en zal dus moeten worden aangepakt, wil je meer draagvlak creëren bij zowel de medewerkers als het management”, concludeert Van Dijk.

De onderzoeker heeft zijn hoop deels gevestigd op de technologie van de toekomst. “We leven in een snel veranderende wereld, waarbij nieuwe innovaties en snelle technologische ontwikkelingen impactvolle veranderingen met zich meebrengen die de wijze waar op persoonsgegevens worden verwerkt ook drastisch kunnen veranderen. Stilstaan is dus niet langer een optie. Hoewel de technologie nu nog vaak indruist tegen de principes van de AVG, heeft het zeker ook voordelen, die wellicht in de toekomst beter ondervangen kunnen worden.”

Wachten op prikkels

Maar zolang dat nog niet zo is, geeft Van Dijk een aantal aanbevelingen aan gemeenten. De eerste is de verantwoordelijkheid voor het voldoen aan de AVG zo laag mogelijk in de organisatie te beleggen. Daarnaast moet het hoger en lijnmanagement het privacybeleid open en nadrukkelijk uitdragen, het goede voorbeeld geven en collega’s aanspreken op hun gedrag. Volgens Van Dijk hebben managers vaak een (externe) prikkel nodig. “Natuurlijk is een crisissituatie, zoals een groot datalek, een enorme prikkel om de urgentie van een deugdelijke naleving van het privacybeleid aan te tonen. Dat helpt in ieder geval als het gaat om alertheid verhogen.”

Maar dat werkt alleen op korte termijn, weet ook Van Dijk. “Dit type verandertrajecten vraagt niet om snelle acties, maar om het prikkelen van constante alertheid, om een campagnematige aanpak, dicht op de huid van ons als mens.” En dus pleit hij voor bijvoorbeeld het versturen van testmails om te kijken of het personeel vatbaar is voor phishing en andere ‘echte’ acties.

Om de organisatie als geheel bewuster te maken, pleit Van Dijk voor een meer centrale rol van de FG, bijgestaan door onder meer de CISO. Hij moet actief worden betrokken bij (het opzetten van) processen waarin persoonsgegevens worden verwerkt. Op iedere afdeling moet de FG een aanspreekpunt hebben. De communicatieafdeling moet helpen de boodschap helder in de organisatie neer te leggen. Daarnaast moet nog strakker het verwerkingsregister worden bijgehouden.