Onderzoek: naleving AVG door overheden nog niet op gewenst niveau
De naleving van de AVG door overheden is nog niet op het gewenste niveau. De regering zou hier dan ook meer in moeten investeren, zo blijkt uit onderzoek van het WODC naar het naleven van de privacywet door overheidsinstanties. Het kabinet komt eind maart met een reactie op de conclusies van het vandaag gepresenteerd onderzoek.
In 2021 besloten de ministers van Buitenlandse Zaken en voor Rechtsbescherming om het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC) onderzoek te laten doen naar de oorzaken voor het niet naleven van de AVG door overheden. Het gaat hierbij om de overheid in alle facetten, van rijksoverheid en uitvoeringsorganisaties tot gemeenten en provincies. Daarnaast moest het WODC met suggesties komen om de situatie te verbeteren.
Volgens de onderzoekers blijkt dat de correcte verwerking van persoonsgegevens na invoering van de AVG een positieve ontwikkeling heeft doorgemaakt, maar nog niet op het gewenste niveau is. "De kennis van de AVG bij overheden neemt toe. Maar dat betekent niet dat naleving van de AVG altijd vanzelfsprekend is. Dat is vaak geen bewuste keuze. Soms ontbreekt voldoende besef dat het beoordelen van AVG-aspecten vooraf moet gaan aan een verwerking van persoonsgegevens."
De onderzoekers ontdekten ook dat de onderzochte overheden een enkele keer expliciet de keuze maakten om de AVG niet na te leven. "Dan zou echt gesproken kunnen worden van tekortkomingen op ‘willen’. Maar dat zijn eerder de uitzonderingen die de regel, het gaat steeds beter met de naleving van de AVG, bevestigen", zo staat in de conclusie vermeld.
Advies
Het rapport bevat ook verschillende aanbevelingen om het naleven van de AVG binnen overheidsorganisaties te versterken. Zo worden de ministers voor Rechtsbescherming en van Binnenlandse Zaken opgeroepen om verdere investeringen bij overheidsorganisaties te doen en een stimulerende rol te pakken om zo de privacyorganisatie bij overheden steviger te funderen en privacybewustzijn sterker te verankeren.
Verder stellen de onderzoekers dat er bij overheidsorganisaties specifiek aandacht nodig is voor het tijdig betrekken van privacybelangen bij de ontwikkeling van projecten die gepaard zullen gaan met verwerking van persoonsgegevens, bijvoorbeeld door het tijdig opstellen van een privacyonderzoek (DPIA). Ook moet management en bestuur het belang van privacybescherming "in woord en daad" benadrukken en hierbij het voorbeeld geven.
Autoriteit Persoonsgegevens
De onderzoekers doen ook aanbevelingen voor de Autoriteit Persoonsgegevens. Ze stellen dat de toezichthouder vooral handhaving prioriteit lijkt te geven. "Vanuit het veld is een duidelijke behoefte aan meer communicatie, voorlichting en sturing door de AP. Specifiek is het wenselijk om meer (informeel) contact mogelijk te maken met een meedenkend en adviserend karakter."
Verder vinden de onderzoekers dat de Autoriteit Persoonsgegevens meer werk zou moeten maken van ingediende meldingen over datalekken en dat het systeemgerichte toezicht van de AP voor versterking in aanmerking komt. "Samen met het ministerie van Binnenlandse Zaken streef ik ernaar voor het einde van dit kwartaal inhoudelijk te reageren op de conclusies van het onderzoek", reageert minister Weerwind voor Rechtsbescherming.
Conclusie de overheidsdiensten zijn al veel langer in overtreding dan dat de AVG bestaat.
Het lijk me duidelijk dat als een overheidsdienst nu nog steeds niet aan de wet voldoet, ze dat nooit gaat doen.
De tijd van afwachten is voorbij, nu actie!
Mijn voorstel is 15% procent minder budget dit jaar, en het jaar daarop als men nog steeds in overtreding is, nog een keer een korting van 15% enzv. Daar bij dat de verplichtingen van die overheidsdienst gewoon blijven bestaan, mag niet minder worden.
Eens kijken hoe snel dan alles geregeld is.....
Dan is de overheids begrotingtekort ook ineens een stuk minder groot!
Kortom een win win situatie
Conclusie de overheidsdiensten zijn al veel langer in overtreding dan dat de AVG bestaat.
Het lijk me duidelijk dat als een overheidsdienst nu nog steeds niet aan de wet voldoet, ze dat nooit gaat doen.
De tijd van afwachten is voorbij, nu actie!
Mijn voorstel is 15% procent minder budget dit jaar, en het jaar daarop als men nog steeds in overtreding is, nog een keer een korting van 15% enzv. Daar bij dat de verplichtingen van die overheidsdienst gewoon blijven bestaan, mag niet minder worden.
Eens kijken hoe snel dan alles geregeld is.....
Dan is de overheids begrotingtekort ook ineens een stuk minder groot!
Kortom een win win situatie
Om te beginnen is de AVG geen strafrecht maar civielrecht. Daarnaast is het een uitvoerende wet.
Verder is de ambtenarij toch echt iets heel anders dan een McDonalds. De staat kan nooit failliet. Er zijn geen aandeelhouders. Zelfs de banken hangen aan de staat, niet andersom. Het blijft wel een stug apparaat, maar dat is altijd al zo geweest.
Ze hebben ooit eens geprobeerd de stugheid uit de belastingdienst te halen met mooie vertrekbonussen. Wat liever lekker stug bleef, bleef lekker zitten. Ziet en huivert bij het gevolg. Van zulke corporate management ideetjes, met de burger als "klant" te zien. Wat die helemaal niet is. Dat je dus denkt dat je het oplost met knijpen werkt niet. Er is immers geen concurrentie voor het overheidsapparaat. Er is geen andere partij die het dan beter en goedkoper kan, en dat de marktwerking het dan vanzelf oplost. Je hebt er gewoon goeie bestuurders voor nodig, die weten hoe ze moeten bijsturen. Geen apenkool verkopers want dan wordt het enkel maar erger.
Conclusie de overheidsdiensten zijn al veel langer in overtreding dan dat de AVG bestaat.
Het lijk me duidelijk dat als een overheidsdienst nu nog steeds niet aan de wet voldoet, ze dat nooit gaat doen.
De tijd van afwachten is voorbij, nu actie!
Mijn voorstel is 15% procent minder budget dit jaar, en het jaar daarop als men nog steeds in overtreding is, nog een keer een korting van 15% enzv. Daar bij dat de verplichtingen van die overheidsdienst gewoon blijven bestaan, mag niet minder worden.
Eens kijken hoe snel dan alles geregeld is.....
Dan is de overheids begrotingtekort ook ineens een stuk minder groot!
Kortom een win win situatie
Een dergelijke reactie zie ik wel vaker. Verleidelijk in zijn eenvoud, maar kort-door-bocht en zonder dat er kennis uit blijkt van de context. En zonder zelf verantwoordelijkheid te nemen voor de juistheid van het zelf gegeven advies. Daar zet ik een quote uit een onderzoek naar werkdruk van Binnenlands Bestuur tegenover "de hoge werkdruk [volgt vooral door] de extra taken [en] het tekort aan handjes".
Organisaties moeten informatiebeveiliging inrichten op basis van risicomanagement: de grootste risico's krijgen de meeste aandacht. Als je de naleving van wet- en regelgeving onderzoekt vind je dus altijd wel wat. Dat is bij een gemiddelde pentest en audit niet anders. Zet daar bij dat het tekort aan gekwalificeerde mensen op de arbeidsmarkt, waardoor vacatures bij overheidsorganisaties soms lang openstaan.
De vraag die mij interesseert is of organisaties kunnen aantonen dat ze hun risico's goed hebben gemanaged:
- Heeft de organisatie hun beperkte capaciteit ingezet op de grootste risico's?
- Is duidelijk dat de capaciteit en middelen onvoldoende zijn voor volledige naleving?
- Zijn de (onacceptabele) restrisico's (tijdelijk) geaccepteerd door het management?
- Heeft de organisatie een realistisch plan om de manco's weg te werken?
Ik ga het WODC rapport erop nalezen om te zien of daar sprake van is.
Het is goed dat het WODC onderzoek aandacht vraagt voor de naleving van de AVG, ook al omdat daarin veel open-einde eisen staan. Bij wetten is vaak jurisprudentie nodig om vast te stellen hoe die eisen moeten worden geïnterpreteerd. Als de letter en de geest van de wet niet samenvallen, vergt dat ook nuancering bij onderzoek naar de naleving. Ik ben daarom blij dat het WODC aangeeft in hun aanbeveling "Vanuit het veld is een duidelijke behoefte aan meer communicatie, voorlichting en sturing door de AP".
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.