Ook Almere moet bij AP verantwoording afleggen over eigen privacytoezichthouder

De gemeente Almere moet bij de Autoriteit Persoonsgegevens verantwoording afleggen over mogelijke belangenverstrengeling. De functionaris gegevensbescherming is in Almere ook verantwoordelijk voor het opstellen van het privacybeleid. Dat gebeurde eerder al in Amsterdam.

Lokale nieuwssite 1Almere schrijft dat de gemeente verantwoording moet afleggen aan de nationale privacytoezichthouder en aan de ombudsman van de gemeente. Het gaat om de positie van de functionaris gegevensbescherming. Overheden moeten zo iemand in dienst hebben. Een 'FG' is een interne en onafhankelijke toezichthouder op het privacybeleid. In Almere zou die FG ook het privacybeleid opstellen. Dat zou betekenen dat de FG toezicht moet houden op zijn of haar eigen beleid. Daar wil de Autoriteit Persoonsgegevens opheldering over hebben.

Het is de tweede keer dit jaar dat de AP een grote Nederlandse gemeente over een soortgelijke situatie op het matje roept. In mei gebeurde dat ook al in Amsterdam. In de eerste plaats wil de AP een gesprek en biedt het mogelijkheden tot verbeteringen, voordat het tot sancties overgaat.

IT-banen

Reacties (72)

Keypunchie 3 augustus 2023 11:27

Zo raar is dat toch ook weer niet? Dan checkt iemand gewoon compliance?

Bvb. de norm danwel beleid die opgesteld word: gegevens worden na x dagen verwijderd. En dan controleert dezelfde persoon bij de rest van de organisatie of dat dan wel gebeurd?

Of mis ik hier iets?

eelco74 @Keypunchie • 3 augustus 2023 11:55

Je mist inderdaad wat, en dit is ook in lijn met bijvoorbeeld eerder zaken op vergelijkbare gebieden. Ik probeer het eenvoudig uit te leggen.

Het uiteenhouden van de beleidsmakende taak en de controlerende taak is essentieel om geen belangenverstrengelingen te krijgen tussen de beleidsmaker en de toezichthouder. Je kunt niet bij een persoon de taak beleggen om de spelregels op de stellen en tevens bij dezelfde persoon de taak om deze te controleren.

De beleidsschrijver zou dan geneigd zijn het beleid dusdanig op te stellen dat het makkelijk te halen is. En aangezien hij ook de rol van controleur heeft, krijg je een spanningsveld. De FG hoort echt een onafhankelijke positie te hebben als toezichthouder.

Dit is ook vergelijkbaar het een 10 tal jaren geleden, waarbij grote accountskantoren zowel een audit rol als een adviserende rol hadden. https://www.accountant.nl...-discussie-voor-de-buhne/

berzerker

@Keypunchie • 3 augustus 2023 11:42

Dit is vast hoe de AP invulling geeft aan artikel 38 lid 6 van de AVG:

De functionaris voor gegevensbescherming kan andere taken en plichten vervullen. De verwerkingsverantwoordelijke of de verwerker zorgt ervoor dat deze taken of plichten niet tot een belangenconflict leiden.

Maar dit is natuurlijk voor velerlei uitleg vatbaar. Ik zie ook niet zo snel welk belang van degene die het beleid bepaalt nu precies zou conflicteren met het belang van degene die het beleid controleert. Zou een controleur meer geneigd zijn om inbreuken op het beleid door de vingers te zien omdat hij het beleid mede heeft bepaald? Dat lijkt mij niet echt aannemelijk.

[edit: na hier nog wat verder over te hebben nagedacht denk ik dat het hier niet gaat om vaststellen van het beleid enerzijds en toezicht houden op het beleid anderzijds, maar om het adviseren over het gewenste beleid enerzijds en het vaststellen van het beleid anderszijds: dan zie ik het punt van de AP wel dat er sprake kan zijn van belangenverstrengling. De FG moet vrij kunnen zijn om maatregelen te adviseren die goed zijn voor de privacy van burgers. De organisatie (gemeente in dit geval) kan dat advies dan overnemen in haar beleid, of zij kan daar gemotiveerd van afwijken. Maar je wil niet dat dat advies al naar de afwijking wordt toegeschreven.]

[Reactie gewijzigd door berzerker op 22 juli 2024 13:57]

J_van_Ekris @berzerker • 3 augustus 2023 12:00

Maar dit is natuurlijk voor velerlei uitleg vatbaar. Ik zie ook niet zo snel welk belang van degene die het beleid bepaalt nu precies zou conflicteren met het belang van degene die het beleid controleert. Zou een controleur meer geneigd zijn om inbreuken op het beleid door de vingers te zien omdat hij het beleid mede heeft bepaald? Dat lijkt mij niet echt aannemelijk.

Er is al jaren een richlijn die de positie en mogelijke conflicten uitlegt: https://autoriteitpersoon...mported/wp243rev01_nl.pdf

De essentie is dat een FG als vooruitgeschoven controleur moet acteren, en dan is zelf dat beleid opstellen wel efficient, maar ook een slager die zijn eigen vlees keurt.

RvdDungen @J_van_Ekris • 3 augustus 2023 12:59

Maar de slager keurt hier niet zijn eigen vlees. De slager keurt hoe de consument zijn vlees bereid.

Het probleem hier zit hem denk ik in het feit dat de beleidsmaker gebonden is aan de visie en strategie van het bedrijf en dat wordt bepaald door de directie en het hogere management. Daarmee kan de FG het beleid eigenlijk niet onafhankelijk bepalen.

De vraag is dan of dat het maken van het beleid verstrengeld is met de FG-taken. Het AP denkt van wel zo te lezen.

Aldy @RvdDungen • 3 augustus 2023 15:21

Zoals ik het begrepen heb controleert de FG niet alleen hoe het beleid wordt uitgevoerd, maar ook het beleid zelf. En als de persoon dezelfde is die het beleid schrijft en bepaalt, dan wordt het moeilijk controleren. Het is niet alleen de slager die zijn eigen vlees keurt, maar meer dat de fout die de beleidsmaker maakt, niet gezien wordt door de FG, omdat die logischerwijze dezelfde fout maakt.

Bas Boss @J_van_Ekris • 5 augustus 2023 16:37

Dit staat er trouwens helemaal niet in die richtlijn. Met onafhankelijkheid van vergelijkbare functies wordt dan gekeken naar de operationele tak, dat staat ook zo in deze richtlijn.

Daarnaast is onafhankelijkheid leuk maar praktisch nooit volledig haalbaar. Als er geen duidelijke criteria zijn lijkt het mij kansloos. Binnen de zelfde organisatie ben je nooit onafhankelijk.

Het is daarnaast logisch dat de beleidsmaker ook moet controleren of het beleid effectief is. Of er vervolgens nog een controle stap bij moet, dat zou kunnen maar dat is meestal een externe organisatie.

michaelkamen

@berzerker • 3 augustus 2023 11:45

Eerder dat als de FG inbreuken constateert, het makkelijk is om het beleid aan te passen zodat alles weer 'volgens de regels' is.

CH4OS @Keypunchie • 3 augustus 2023 11:41

Het zou niet zo moeten zijn, dat degene die de controle doet op het beleid ook degene is die het beleid bepaald. Je wilt gewoon niet, dat als iets in de controle niet uitkomt, dat de FG dan vervolgens zegt: we passen het beleid wel aan, dan is het ook goed.

Je wilt dus voorkomen dat bij een issue het beleid zomaar aangepast kan worden, daar is het beleid niet voor bedoeld*. Wanneer er dus een issue is, moet de FG optreden en zorgen dat het issue wel voldoet volgens de regels en niet dat hij het beleid aanpast om te zorgen dat het issue dan opeens wel volgens het privacybeleid is. Wanneer het isseu opgelost is, kan hij altijd een verzoek doen om het beleid te laten aanpassen. Maar het aanpassen van het beleid moet geen middel zijn om een issue op te lossen.

Het beleid moet dus reactief zijn in plaats van proactief.

* Zou je dit wel doen, dan wordt het beleid gewoon onduidelijk, je weet dan, ook als burger, niet meer waar je aan toe bent op dat moment.

[Reactie gewijzigd door CH4OS op 22 juli 2024 13:57]

batteries4ever @CH4OS • 3 augustus 2023 11:47

Tuurlijk... als je oneindig veel mensen hebt klopt dat helemaal. Maar een gemeente heeft vrij beperkte middelen. Dus je moet of iemand die taak geven die eigenlijk in iets heel anders werkt of 1 persoon beide rollen laten vervullen.

kodak

Autoriteit Persoonsgegevens
Privacy
algemene verordening gegevensbescherming

@batteries4ever • 3 augustus 2023 12:01

Er is niet zomaar 'te weinig middelen' als probleem aan te wijzen. Zeker niet bij wettelijk verplichtingen om belangenverstrengeling tegen te gaan.

batteries4ever @kodak • 3 augustus 2023 12:09

Sorry, maar gemeenten hebben een budget. Dit soort aanbevelingen/verplichtingen worden vrolijk ingevoerd, zonder al te veel aandacht voor waar de middelen vandaan moeten komen. In feite is dat mijn grootste bezwaar tegen de steeds verder uitgebreide structuren om van alles en nog wat te reguleren/controleren: meestal best zinnige thema's, maar dat gaat ten koste van andere zaken. B.v. een aparte kracht ter controle, kan ten laste gaan van de bereikbaarheid van de gemeente... keuzes, keuzes!

White Feather

@batteries4ever • 3 augustus 2023 13:10

Overdrijven is ook een vak.

De gemeente Almere heeft 2300 ambtenaren.

Daar kunnen ze er echt wel 2 tussen vinden die allebei iets met Privacy willen doen.

batteries4ever @White Feather • 3 augustus 2023 14:02

Goed punt, mijn stelling was algemeen voor kleine gemeentes. Dit is waarschijnlijk ook een belangrijke oorzaak waarom gemeentes steeds meer bij elkaar gevoegd worden... al die zaken overzien vergt een grote groep ambtenaren! Waarschijnlijk hebben daardoor zelfs kleine gemeenten meerdere mensen die dit zouden kunnen doen...

kodak

Autoriteit Persoonsgegevens
Privacy
algemene verordening gegevensbescherming

@batteries4ever • 3 augustus 2023 18:45

Volgens het nieuwe is dit pas het tweede onderzoek naar zo'n situatie. Met ruim 340 gemeenten in Nederland ben ik wel benieuwd hoe het bij de andere gemeenten geregeld is. Want het lijkt momenteel niet alsof het bij veel gemeenten nu zo'n verstrengeling is.

mhnl1979 @kodak • 3 augustus 2023 13:03

Klinkt heel leuk. In theorie. In de praktijk wordt een zwembad wegbezuinigd in een gemeente omdat anders de jeugdzorg niet betaald kan worden. Je moest eens weten hoeveel gemeenten sinds 2015 op de rand van faillissement verkeren of onder toezicht staan. Doordat de landelijke overheid de taken met driekwart van het geld had overgedragen aan de gemeenten..

mjtdevries @mhnl1979 • 3 augustus 2023 15:25

Met driekwart van het geld, omdat de gemeenten heel hard hadden geroepen dat zij het met driekwart van het geld konden doen, omdat ze veel efficienter dan de landelijke overheid konden opereren.

mhnl1979 @mjtdevries • 4 augustus 2023 09:18

Simpelweg niet waar. Was een ordinaire bezuiniging.

ari3 @mhnl1979 • 4 augustus 2023 13:19

Er staat nergens in de wet dat gemeenten hun inwoners moeten fêteren met een zwembad. Dat is dus geen gemeentelijke taak. Het gebruik van rijkstoelagen (belastinggeld) voor een zwembad is laakbaar en zou moeten leiden tot ontslag van wethouders en mogelijk ook ambtenaren. Zij zouden beter moeten weten.

mhnl1979 @ari3 • 4 augustus 2023 16:04

Poeh, poeh. Grote woorden die nergens op slaan.
Ruil zwembad dan even om voor maaien en /of straatverlichting.
Een zwembad is in zichzelf geen taak. Maar kan wel een omgevingsfunctie hebben zodat kinderen daar zwemles kunnen krijgen.

OruBLMsFrl @batteries4ever • 3 augustus 2023 11:53

Als je gemeente maar minimaal 2 medewerkers heeft, kan dit al lukken dat de ene de afspraken opstelt en de ander controleert of het werk ook volgens afspraken wordt uitgevoerd. Beide hoeven volgens mij geen fulltime functies te zijn voor kleine organisaties en gemeentes, althans hoop ik? Zolang je maar niet één persoon beiden laat doen, zo moeilijk is dat toch niet als uitgangsprincipe zou je denken.
Trias politica en zo, scheiding rechtelijke macht en staat, onafhankelijke toezichthouder of marktwaakhond van de uitvoerder(s), zoveel voorbeelden dat iets gescheiden moet. Anders krijg je toch alltijd 'wij van WC eend... hebben even snel de regels in ons eigen voordeel gewijzgd'

batteries4ever @OruBLMsFrl • 3 augustus 2023 12:00

De ene medewerker is bezig met "afvalstromen" en de ander heeft privacy erbij. De keus gaat tussen mensen die wat kennis/affiniteit hebben met het thema of een onafhankelijke controle, wat je zo mooi met "trias politica" aanduid.

[Reactie gewijzigd door batteries4ever op 22 juli 2024 13:57]

SirBlade @batteries4ever • 3 augustus 2023 12:55

De simpele oplossing is 2 organisaties laten samenwerken. De medewerker van organisatie 1 maakt het beleid voor organisatie 1 en controleert het beleid van organisatie 2. En de medewerker van organisatie 2 maakt het beleid voor organisatie 2 en controleert het beleid van organisatie 1. Althans, op papier, maar zolang het op papier staat is het de waarheid.

Alex3 @SirBlade • 3 augustus 2023 18:22

Dat lijkt me ook niet ideaal. Die twee kunnen het makkelijk op een akkoordje gooien.

SirBlade @Alex3 • 4 augustus 2023 05:52

Dat maakt het juist ideaal

Zer0 @CH4OS • 3 augustus 2023 12:17

Het zou niet zo moeten zijn, dat degene die de controle doet op het beleid ook degene is die het beleid bepaald.

Je gaat er van uit dat de persoon die het beleid opstelt ook het beleid bepaalt, terwijl dat twee verschillende zaken kunnen zijn.

CH4OS @Zer0 • 3 augustus 2023 12:47

De GDPR/AVG wetgeving is duidelijk in artikel 38 lid 6, met name de tweede zin:

De functionaris voor gegevensbescherming kan andere taken en plichten vervullen. De verwerkingsverantwoordelijke of de verwerker zorgt ervoor dat deze taken of plichten niet tot een belangenconflict leiden.

In het geval van Almere is het dus zo dat degene die het beleid opstelt/bepaald ook de controle ervan (dat is althans de taak van de FG) binnen diezelfde organisatie doet. Daarom moet Almere op het matje komen bij de AP, die verduidelijking wilt.

[Reactie gewijzigd door CH4OS op 22 juli 2024 13:57]

Zer0 @CH4OS • 3 augustus 2023 12:52

De AVG is daar helemaal niet duidelijk in, want wat is het belangenconflict?
Daar is ruimte voor interpretatie, en daarom wordt Almere (nog) niet op het matje geroepen, maar er wordt eerst bekeken of er daadwerkelijk sprake is van een belangenconflict.

mjtdevries @Zer0 • 3 augustus 2023 15:27

Als de slager zijn eigen vleus keurt, dan is er per defintie sprake van een belangenconflict.

Het betekent echter niet per definitie dat het vlees slecht is. En dat laatste is wat vooral van belang is voor de AP.

[Reactie gewijzigd door mjtdevries op 22 juli 2024 13:57]

Zer0 @mjtdevries • 3 augustus 2023 15:44

De vraag is of het de slager is die het vlees keurt, of de persoon die het vlees in pakt.

Orangelights23 @CH4OS • 3 augustus 2023 14:23

Precies dit dus. Zie het als een second line of defense die ook betrokken is in de eerste lijn, om in GRC termen te spreken. Dan moet je controleren of je eigen werkt wel uitgevoerd wordt zoals bedoelt.

GoBieN-Be @Keypunchie • 3 augustus 2023 11:48

Het gaat niet over opvolgen als het beleid goed uitgevoerd wordt.
Het gaat over controleren dat het beleid goed is en aan de regels voldoet.

Nu controleert dezelfde persoon die het beleid opstelt ook als het beleid OK is.

mphilipp @Keypunchie • 3 augustus 2023 12:18

Het is net als je eigen software testen. Je test dan waarschijnlijk wat je geprogrammeerd hebt. Een onafhankelijke persoon kijkt veel kritischer. Het gaat denk ik ook voor een deel over interpretatie. Jij kunt denken dat je het goed hebt gedaan, en dan zul je je eigen beleid ook goedkeuren. Iemand die buiten de organisatie die het beleid opstelt staat, kan met een andere blik kijken naar het beleid.

Ik kan mij echter voorstellen dat organisaties moeite hebben met de bezetting als er voor dat stuk van het beleid 2 functionarissen nodig zijn. Misschien is het ook acceptabel als je op bepaalde momenten een externe auditor inhuurt die de check doet.

edwinjm @mphilipp • 3 augustus 2023 13:15

Dat is de verkeerde metafoor.

Een betere is: je mag als software ontwikkelaar niet zelf je linting-regels en tests schrijven, maar dat moet je door een ander bedrijf/team laten doen.

mphilipp @edwinjm • 3 augustus 2023 13:32

potato potato, komt op hetzelfde neer en je wist precies wat ik bedoelde.

hamsteg @mphilipp • 3 augustus 2023 14:01

Ik neem aan dat jij werkt in de IT?

Een onafhankelijke persoon kijkt veel kritischer.

In theorie klopt dit maar in de praktijk, onder tijdsdruk werkt dit helemaal niet en hoeft dit ook niet. Jezelf in de geest van een collega verplaatsen en dat denkpatroon van dat moment volgen is heel moeilijk tot onmogelijk; implementatie volgen, alle mogelijkheden te doorgronden en daarin nog functionele fouten vinden binnen een gestelde tijd. Het argument dat dan de oplossing te complex is en dus opdelen naar kleinere blokjes zou werken, werkt ook maar beperkt want door deze vereenvoudiging wordt de complexiteit tussen de blokjes vaak over het hoofd gezien (juist datgene wat boven tafel moet komen).
Als je de requirements vooraf helder hebt over de functionaliteit/interfaces EN over hoe af te testen of zelfs een stap verder TDD, kan één en dezelfde programmeur beiden implementeren (uitgaande dat er wel een peer-review plaatsvindt). Het "kritische" en waardevolle moment is dan verschoven naar de voorkant van de ontwikkeling - brainstom op detailed design EN verificatie; kost minder tijd en is potentieel net zo effectief.

Terug naar de AP, wat is het risico? Het opstellen en controleren van een beleid gebeurt heel veel bij bedrijven door een en dezelfde persoon of afdeling; denk aan QA die volgens standaarden moeten werken. Wat ik niet lees is of er periodiek een extern iemand een audit doet (iets dat wel bij QA afdelingen gebeurt die volgens standaarden hun certificaten willen behouden) daarmee vang je het grootste risico van belangenconflicten af.

mphilipp @hamsteg • 3 augustus 2023 14:09

In theorie klopt dit maar in de praktijk, onder tijdsdruk werkt dit helemaal niet en hoeft dit ook niet. Jezelf in de geest van een collega verplaatsen en dat denkpatroon van dat moment volgen is heel moeilijk tot onmogelijk; implementatie volgen, alle mogelijkheden te doorgronden en daarin nog functionele fouten vinden binnen een gestelde tijd.

Volgens mij verwar je nu testen met een audit op code. Software testen is moeilijk genoeg, maar je maakt het een heel stuk moeilijker als ik de implementatie ook nog moet gaan toetsen. Testen in mijn optiek wil zeggen dat ik ergens specs heb van wat het programma moet doen, en kijk of dat goed is gemaakt. Je moet dan wat testgevallen bedenken, wat ook lastig kan zijn, maar dat is het dan. Kijken of je het programma stuk kan maken, hoe het omgaat met foute invoer e.d.
Maar goed, tegenwoordig gebeurt dat testen voornamelijk automatisch (ik ben inmiddels geen programmeur meer), maar daar ging het niet om. Het ging over het toetsen van het beleid.

CAPSLOCK2000

Privacy
Autoriteit Persoonsgegevens
algemene verordening gegevensbescherming

@hamsteg • 3 augustus 2023 18:05

Terug naar de AP, wat is het risico? Het opstellen en controleren van een beleid gebeurt heel veel bij bedrijven door een en dezelfde persoon of afdeling; denk aan QA die volgens standaarden moeten werken.

Het risico is dat problemen niet worden opgelost maar dat het beleid wordt aangepast om de problemen te verbergen. Dan krijg je beleid als "niemand mag op TikTok behalve de laptop van de directeur". Op papier kun je dan 100% aan je beleid voldoen en toch niet goed bezig zijn.

Vergelijken met bedrijven is een beetje lastig omdat die met hun eigen geld werken en niet met belastinggeld. In een bedrijf hoef je uiteindelijk alleen de directeur/eigenaar tevreden te houden. De overheid kan dat niet maken.

Gert @Keypunchie • 3 augustus 2023 12:29

In een wereld waar logica geldt, klopt, maar in de wereld van audits en compliancy geldt dat niet en moeten het verschillende mensen zijn. Dat iemand kritisch op zijn eigen werk kan zijn of het samen met anderen doet maakt daar niks uit.
Een achterliggende reden is dat de FG moet kunnen zeggen dat het volkomen bagger is zonder dat dit verdere gevolgen heeft voor het proces en als die persoon dan vervolgens weer met mensen in goed overleg moet over dat beleid dan kan dat voor een impasse zorgen.

Chocoball

@Keypunchie • 3 augustus 2023 13:45

De Functionaris Gegevensbescherming (FG) is de interne toezichthouder op de naleving van de AVG en andere privacy wet- en regelgeving. De Privacy Officer (PO) is verantwoordelijk voor het actualiseren en bewaken van het privacybeleid binnen de gemeente.

Een FG moet onafhankelijk kunnen werken en mag ook geen functiies combineren met die bijvoorbeeld van CISO of Privacy Officer binnen de gemeente omdat dit tot een belangenconflict kan leiden. Vandaar dat de AP hier helderheid over wil hebben.

cobis taba @Keypunchie • 4 augustus 2023 16:51

Bijna altijd zijn er meer manieren om compliant te worden, als het huidig beleid niet voldoet. Sterker nog, soms zou het bestaande beleid verdedigbaar kunnen zijn maar is de onderbouwing onvoldoende. En is 1 van de mogelijkheden dus betere onderbouwing, of betere beschrijving. Je kunt het beleid ook aanpassen, je kunt helemaal stoppen met bepaalde activiteiten, etc.

Kortom, de conclusie "wat je nu doet is niet correct" resulteert niet direct in een 'en je moet het exact zo doen' maar "kom met een nieuw voorstel, dan beoordeel ik dat". Waarin je van de FG best mag verwahcten dat die waar mogelijk richting geeft, een kader stelt, of meedenkt. Misschien zelfs een keer aanhaakt bij de brainstorm van het privacyteam dat het beleid maakt.

Maar wat je niet kunt verwachten is dat hij of zij het beleid zelf schrijft.

Kees BOFH @Keypunchie • 3 augustus 2023 11:37

Ik mis denk ik ook iets. Een FG zal het beleid moeten controleren en waar nodig moeten bijsturen. Als zo'n expert kritiek heeft op het beleid, dan verwacht ik eigenlijk ook voorstellen tot aanpassing van dat beleid.

En niet iets als 'dit moet je aanpassen, pas het maar aan en dan kijk ik of het goed genoeg is, en indien niet dan moet je het blijven aanpassen tot ik tevreden ben, maar ik mag jou niet vertellen wanneer ik tevreden ben, dus veel succes!'

djiwie @Kees • 3 augustus 2023 11:41

Maar wat er nu gebeurt is dat iemand het beleid opstelt en daarna een ander hoedje op zet en zegt: "dit beleid is helemaal in orde! Echt waar!" Dat is natuurlijk een beetje gek voor een functie die onafhankelijk zou moeten zijn.

Sparks.nl @Kees • 3 augustus 2023 11:47

Ik verwacht niet dat die persoon die het beleid controleert ook daadwerkelijk voorstellen gaat doen. Die persoon zal alleen zeggen wat er niet op orde is. Dat is niet zo geregeld in de audit wereld. De persoon die het beleid opstelt moet zelf met verbeteringen komen, eventueel m.b.v. andere partijen.

[Reactie gewijzigd door Sparks.nl op 22 juli 2024 13:57]

Groningerkoek @Kees • 3 augustus 2023 13:49

De FG zegt dingen als: "je bewaart dit nu 100 dagen, maar je mag dit maar 50 dagen bewaren." Of "de informatie is niet afdoende beschermd, bescherm dit beter." Het zal die persoon een zorg zijn hoe je die aanpassing realiseert, dat mag de organisatie zelf bepalen.

dutchruler @Keypunchie • 3 augustus 2023 11:44

Ik ben het met je eens.

Er zal kennelijk ook wel domeinkennis noodzakelijk zijn om dat werk goed te kunnen doen.
Dus zo vreemd vind ik het ook niet. Al die ambtenaren worden uiteindelijk weer door ons betaald,
dus een beetje efficiëntie zou niet missen.

Straks heb je van die China situaties waar je een poppetje heb voor elke streep, vinkje of knopje.

Neo_TGP @Keypunchie • 3 augustus 2023 11:44

Ik denk dat het scenario vrij vaak voor komt, maar het risico is dat je bij het opstellen van het beleid rekening gaat houden met de zwaktes in je processen. Het klopt dat je dan de controle nog steeds goed kan doen op basis van het opgestelde beleid, maar de echte controle is dan wel verzwakt.

Idealiter wil je dus het beleid schrijven en toetsen lostrekken zodat de controlerende instantie ook neutraal kan kijken naar zaken die "missen" in je beleid, of punten waarbij het "lijkt" dat het beleid geschreven is om bepaalde tekortkomingen te verhullen.

edeboeck @Keypunchie • 3 augustus 2023 11:51

Ik veronderstel dat toezicht houden op het privacybeleid ook impliceert dat er gecheckt wordt of dat voldoet aan de regels vanuit de AP. In die zin is een onafhankelijk persoon aangewezen, maar ook iemand anders dan de opsteller van het beleid.

wica @Keypunchie • 3 augustus 2023 11:56

Ik heb ooit deze twee rollen, te gelijk gehad bij een bedrijf.
En ik kan je vertellen, je moet aardig gestoord zijn om een goede scheiding te houden.

E-mail naar je zelfs sturen met vragen en dan als andere rol ze beantwoorden. Hard op met je zelf discussiëren.

Kan je zeggen, onze auditor vond het aardig bizar

kabelmannetje @Keypunchie • 3 augustus 2023 12:46

Ja. Zoals het artikel duidelijk zegt, bestaat er belangenverstrengeling. Scheiding van uitvoerende en controleren macht is het begin van elk zuiver proces.

PVDK007 @Keypunchie • 3 augustus 2023 12:52

Het is wel raar en de mensen zijn naïef als dit vreemd is.

Groningerkoek @Keypunchie • 3 augustus 2023 13:47

De persoon die bepaalt na hoeveel dagen de informatie moet worden verwijderd is ook de persoon die moet toetsen of die hoeveelheid dagen in orde is.

jpsch @Keypunchie • 3 augustus 2023 18:21

Slager die zijn eigen vlees keurt.

skimine 3 augustus 2023 12:00

Ik denk dat het snel gebeurt dat iemand die de ene functie heeft ook de andere wordt toebedeeld. Want dat is de persoon met de juiste expertise die toch al beschikbaar is.

cobis taba @skimine • 4 augustus 2023 16:52

En dat is precies wat - bij een FG - dus bijna nooit mag. De FG rol is echt een uitzondering op de normale werkwijze in organisaties. organisaties snappen niet dat de FG een onafhankelijk toezichthouder moet zijn en dus geen reguliere medewerker is.

Je mag de FG bijvoorbeeld ook instructies geven over het werk, niet vertellen welke onderzoek hij of zij doet, niet vertellen hoe die te doen, geen betrokkenheid bij de conclusies, etc.

cobis taba @skimine • 4 augustus 2023 16:57

Overweeg een part-time FG, deel die met meer organisaties, etc.

CAPSLOCK2000

Privacy
Autoriteit Persoonsgegevens
algemene verordening gegevensbescherming

@skimine • 3 augustus 2023 12:42

Ik denk dat het snel gebeurt dat iemand die de ene functie heeft ook de andere wordt toebedeeld. Want dat is de persoon met de juiste expertise die toch al beschikbaar is.

Dat is inderdaad een groot probleem, mensen met gespecialiseerder kennis zijn zeldzaam en duur, zeker als er niet genoeg werk is om iemand goed bezig te houden. Tegelijk wil je geen SPOFs in je organisatie dus heb je twee of drie mensen nodig met die kennis.

Groningerkoek @CAPSLOCK2000 • 3 augustus 2023 13:44

Er staat nergens dat een privacytoezichthouder maar voor 1 gemeente mag werken, als je niet genoeg werk hebt voor zo iemand dan kun je ook met meerdere gemeenten 1 iemand in dienst nemen.

smartbit 3 augustus 2023 12:52

Dit is stokpaardje van Munish Ramlal die vindt dat de onafhankelijke Functionaris Gegevensbeheer FG niet mag meedenken over privacy beleid. In de AVG staat dat de FG “gevraagd en ongevraagd advies mag geven”, dus ook over het privacybeleid als daar om gevraagd wordt door respectievelijk de gemeente Almere en Amsterdam.

Alleen maar omdat Munish Ramlal vroeger bij de AP werkte krijgt hij zijn voormalige collega’s zover om deze onderzoeken te laten instellen. Een ieder ander zou de AP nooit zover krijgen, daarvoor heeft de AP veel te veel andere prioriteiten. Het lijkt me tijd om onderzoek te laten doen naar de invloed van oud medewerkers op het beleid van de AP.

koboy @smartbit • 3 augustus 2023 13:25

Je mag het van mij een stokpaardje noemen, maar het mopperen over het niet scheiden van de functies over 2 personen door de heer Ramlal is vanuit zijn functie als ombudsman bij de gemeente Amsterdam volstrekt terecht. Hij is namelijk degene die de rommel die het uitblijven van deze scheiding om zijn oren krijgt (algoritmes en koppelingen die volgens de AVG niet mogen).

Eerder gewerkt hebbend vor de AP zal hij weten welke persoon hij bij de AP moet aanschrijven (waar een ander even een belletje voor moet plegen). Ik denk dat de AP daarna goed in staat is om prioriteiten af te wegen tegen de hoeveelheid werk. Een mail-merge naar alle gemeentes met een vraag en het verwerken daarvan is nou ook weer niet zo veel werk. Daarnaast gaat van de brief naar de gemeentes ook een bewustmakende vraag uit. Dat een (top 10) gemeente dan zonder blikken of blozen antwoordt dat die functies bij dezelfde persoon liggen is naar mijn mening behoorlijk arrogant.

Groningerkoek @smartbit • 3 augustus 2023 13:40

Het gaat hier niet over meedenken want dat is niet bezwaarlijk. Het gaat er hier om dat de onafhankelijke toezichthouder op het privacybeleid zelf het privacybeleid bepaald. En dat is natuurlijk van de zotte. Als we zulke constructies normaal vinden dan kunnen we de keuringsdienst van waren ook wel afschaffen want de slager kan zijn eigen vlees net zo goed keuren, en de shoarmatent om de hoek bepaald dan zelf wel of zijn keuken schoon genoeg is of niet.

CAPSLOCK2000

Privacy
Autoriteit Persoonsgegevens
algemene verordening gegevensbescherming

@smartbit • 3 augustus 2023 17:53

Alleen maar omdat Munish Ramlal vroeger bij de AP werkte krijgt hij zijn voormalige collega’s zover om deze onderzoeken te laten instellen. Een ieder ander zou de AP nooit zover krijgen, daarvoor heeft de AP veel te veel andere prioriteiten. Het lijkt me tijd om onderzoek te laten doen naar de invloed van oud medewerkers op het beleid van de AP.

Ik denk dat je wel een punt hebt dat een ander dit niet gedaan zou hebben gekregen maar dat is niet per se een boze opzet of corruptie. Iemand die uit de organisatie komt zal precies weten hoe je een aanvraag moet opstellen zodat de ontvanger er blij van wordt en onmiddellijk aan de slag kan. Iemand van buiten vult eerst het verkeerde formulier in en stuurt dat naar de verkeerde afdeling die vervolgens de verkeerde conclusie trekken en de aanvrager verkeerd doorverwijzen.

In mijn werk is het niet anders, als iemand met een perfect ingevuld formulier komt waar ik alleen maar m'n handtekening onder hoef te zetten dan zal ik die al snel voorrang geven boven iemand die ik bij de hand moet nemen om door het proces heen te gaan.

otin.kyaad @smartbit • 4 augustus 2023 09:26

Helemaal mee eens, anders krijg je weer een "wij van WC-eend" situatie.

Jeebus 3 augustus 2023 12:52

Gemeenten kunnen toch onderling elkaars beleid toetsen? Dan keurt de slager nooit zijn eigen vlees.

koboy @Jeebus • 3 augustus 2023 13:13

Dat is zeker voor de kleinere gemeentes een goede optie.
Maar in dit geval gaat het om Almere, dus staat qua grootte op nummer 8. Daar is de expertise echt wel in meerdere personen aanwezig, en is voor de sjoemelgemak route gekozen.

Was Almere niet de gemeente waar de VVD burgemeester zonder toestemming/toezicht een put voor een warmtewisselaar mocht slaan voor haar eigen huis?

El_Capino

3 augustus 2023 11:34

Klink een beetje als Wij van WC-Eend

Frame164 @El_Capino • 3 augustus 2023 11:40

Niet helemaal. Iemand stelt beleid en controleert of anderen dat beleid volgen. De FG voert niet uit.

[Reactie gewijzigd door Frame164 op 22 juli 2024 13:57]

Lagonas @Frame164 • 3 augustus 2023 11:47

Het probleem hier is dat degene die het beleid maakt, ook het beleid toeziet. Wat nu dus kan gebeuren is dat de toezichthouder iets ziet dat tegen het beleid is, dat een beetje ingewikkeld wordt om op te lossen, en dan het beleid aanpast naar de situatie. Zal niet de eerste en ook niet de laatste keer zijn dat zoiets gebeurd.

En, het is specifiek bepaald dat de toezichthouder onafhankelijk moet zijn. Je kan niet onafhankelijk zijn als je zelf het beleid gemaakt hebt.

[Reactie gewijzigd door Lagonas op 22 juli 2024 13:57]

Stefandepefan @Lagonas • 3 augustus 2023 13:47

Ik hoop stiekem dat het beleid nog tenminste door iemand is goedgekeurd die hoger in de boom zit dan de FG, want anders is het beleid waardeloos.

kodak

Autoriteit Persoonsgegevens
Privacy
algemene verordening gegevensbescherming

@Frame164 • 3 augustus 2023 12:22

De FG voert hier wel degelijk iets uit wat te maken heeft met het uitvoeren van andere werk: controle op het opstellen en naleven van het zelf opgestelde beleid. Dat de FG daarbij ook vooral anderen moet controleren zorgt er daarmee niet zomaar voor dat die het eigen werk waarover de controle gaat daardoor niet belangrijk is.

CAPSLOCK2000

Privacy
Autoriteit Persoonsgegevens
algemene verordening gegevensbescherming

3 augustus 2023 11:53

Goed dat de AP hier op controleert. Mijn onderbuikgevoel is dat het bijna standaard is dat de FG ook het beleid opstelt. Idem met CISO's en een hoop andere toezichthouders. Bij kleinere organisaties is er weinig ruimte om voor iedere functie iemand in dienst te hebben en zeker niet als daar veel gespecialiseerde kennis bij nodig is.

cobis taba @CAPSLOCK2000 • 4 augustus 2023 16:56

Is dat echt zo structureel? Bij ons (SURF) heb ik dit echt vanaf het begin onafhankelijk neergezet. De FG zit HRM-technisch in mijn team, samen met privacy, security, legal en inkoop. Maar schrijft niet aan het beleid, doet geen adviezen in individuele dossiers (tenzij de FG echt betrokken moet worden, maar dat is dan altijd aanvullend/na/naast een privacy officer) en nog de CPO, nog ikzelf geeft de FG instructies op het werk. Rapportagelijn naar bestuur is rechtstreeks, niet via mij of een manager.

Ik vond de wet nogal duidelijk, ik snap niet hoe je het per ongeluk fout zou kunnen doen... (je kunt bij ons discussieren over de plek in de organisatie, maar HR-technisch valt bijna niemand onder bestuur, dus vandaar binnen een team geplaatst en we hebben geen separaat audit-team ofzo).

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (72)

Sorteer op:

Weergave: