Brief regering : Beleidsreactie op WODC-onderzoek 'Naleving van de AVG door overheden'

Nr. 304
BRIEF VAN DE MINISTER VOOR RECHTSBESCHERMING EN DE STAATSSECRETARIS VAN BINNENLANDSE
ZAKEN EN KONINKRIJKSRELATIES

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 28 juni 2024

Op 9 februari 2023 bood de Minister voor Rechtsbescherming, mede namens de Staatssecretaris
Koninkrijksrelaties en Digitalisering, uw Kamer het onderzoeksrapport «Verkennende
analyse: Naleving van de AVG door overheden» aan (Kamerstuk 32 761, nr. 261), dat in opdracht van het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC)
is uitgevoerd door Pro Facto en Hooghiemstra & Partners. Met deze brief ontvangt u
de beleidsreactie op dat onderzoek.

Aanleiding

Bescherming van persoonsgegevens is een fundamenteel grondrecht. De Algemene Verordening
Gegevensbescherming (AVG) is er onder meer om te waarborgen dat dit grondrecht wordt
gerespecteerd. Het is in onze democratische rechtsstaat van het grootste belang dat
juist de overheid geen ongerechtvaardigde inbreuken maakt op de grondrechten van mensen.
De overheid is er tenslotte voor de burger en haar handelen moet zorgvuldig en rechtmatig
zijn. Daartoe behoort ook dat overheden bij de verwerking van de persoonsgegevens
de normen van de AVG in acht nemen. Dat houdt in dat verwerking van persoonsgegevens
moet plaatsvinden op een manier die rechtmatig, behoorlijk en transparant is, die
gebonden is aan specifieke doelen en die niet verder gaat dan voor het betreffende
doel noodzakelijk is. Ook moeten de gegevens juist zijn en moeten passende organisatorische
en technische maatregelen zijn genomen voor de beveiliging daarvan. De burger moet
erop kunnen vertrouwen dat persoonsgegevens bij de overheid goed zijn beschermd. In
de afgelopen jaren hebben zich echter meerdere situaties voorgedaan waarin overheden
(zowel op rijksniveau als decentraal) tekort bleken te schieten in de naleving van
de AVG. Het rapport dat uw Kamer op 25 januari 2023 is gezonden, doet verslag van
een onderzoek naar de naleving van de AVG door overheden. De centrale vraag daarbij
luidde: wat zijn de meest voorkomende onduidelijkheden en problemen binnen overheidsorganisaties
bij naleving van de AVG en welke oorzaken vallen daarvoor aan te wijzen?

Het onderzoek

De onderzoekers hebben informatie opgehaald bij onder meer de Auditdienst Rijk (ADR)
en de Autoriteit Persoonsgegevens (AP), en hebben daarnaast negen kwalitatieve onderzoeken
(door de onderzoekers casestudy’s genoemd) gedaan bij verschillende overheidsorganisaties.1 Getracht is daarbij om een zo goed mogelijk beeld te krijgen van de inrichting van
de organisatie, de verdeling van verantwoordelijkheden en het interne toezicht. Hoewel
niet zeker is dat met de onderzochte negen organisaties een exact beeld is verkregen
van de naleving van de AVG door àlle overheden, is sprake van een representatieve
selectie. De belangrijkste typen overheidsorganisaties zijn daarin namelijk vertegenwoordigd.
Ook kwam uit de negen kwalitatieve onderzoeken een vrij consistent beeld naar voren.

Het algehele beeld is dat de naleving van de AVG zich positief ontwikkelt. Er komt
steeds meer aandacht voor het onderwerp en dit vertaalt zich in de praktijk. Er zijn
echter ook aspecten die meer aandacht verdienen, ten eerste de borging van verantwoordelijkheden.
Uit de informatie van de ADR en de AP bleek onder meer dat de rollen van verwerkingsverantwoordelijke
en verwerker niet altijd helder zijn. Daarnaast is er binnen de organisatie vaak sprake
van rolvermenging tussen de Functionaris voor Gegevensbescherming (FG) en de privacy
officer. De AP geeft aan dat de onafhankelijkheid van de FG regelmatig onder druk
staat.

Daarnaast schat de AP in dat zaken als het uitvoeren van Data Protection Impact Assessments
(DPIA’s) niet altijd goed geregeld zijn. Ook lijkt er regelmatig sprake te zijn van
«dominantie van de doelstelling», wat inhoudt dat gegevensverwerking vaak als oplossing
voor problemen wordt gezien in plaats van een middel, zonder alle relevante kaders
daarbij goed in te vullen. Ten aanzien van departementen en uitvoeringsorganisaties
constateren de AP en de ADR dat er sterke verschillen zijn bij naleving van de AVG
bij de overheid. De ADR ziet vooral een rol voor de organisatietop; goede sturing
is cruciaal voor naleving binnen de gehele organisatie. Het interne toezicht is naar
mening van de AP bij een aantal departementen nog voor verbetering vatbaar. De ADR
ziet ook dat de FG in het verleden vaak werd geacht een deel van de verantwoordelijkheid
voor gegevensbescherming op te pakken. De ADR constateert dat het primaire proces
bij departementen altijd voorrang krijgt en dat daarbij alles zo snel en efficiënt
mogelijk moet. Bovendien wil men vanwege bezuinigingen vaak niet investeren in privacybescherming.

De onderzoekers concluderen uit de casestudy’s dat het type uitvoeringsorganisatie
van invloed kan zijn op de mate van naleving van de AVG. Zij constateren een belangrijk
verschil tussen «politieke» overheidsorganisaties en «technische» overheidsorganisaties.
Waar laatstgenoemde organisaties op een meer vanzelfsprekende manier de normen van
de AVG naleven, is de naleving van privacynormen bij «politieke» organisaties in sterkere
mate afhankelijk is van een afweging van belangen. De dominantie van beleidsdoelen
kan dan een zwaarwegende factor zijn ten koste van privacynormen; veeleer ligt het
accent op de doelmatige uitvoering van primaire processen en komt het aspect van de
bescherming van persoonsgegevens daar pas op een later moment als aandachtspunt bij.
Naleving van de AVG wordt zo te vaak nog gezien als iets dat vooral samenhangt met
techniek en beveiliging en minder als een belang dat doorwerkt in alle processen binnen
de organisatie. Privacy, zo stellen de onderzoekers naar de mening van het kabinet
terecht, behoort echter al aan de voorkant bij de verwerking van gegevens aandacht
te krijgen en niet pas nadat de belangrijkste beslissingen reeds genomen zijn.

De onderzoekers stellen vast dat overheden veel hebben gedaan op het vlak van de bescherming
van persoonsgegevens. De algemene indruk is dat het op dit moment beter gesteld is
met de naleving van privacynormen door overheden dan voor de komst van de AVG. De
AVG heeft zonder twijfel gezorgd voor een toegenomen bewustzijn bij overheden. Dat
bewustzijn is ook gevolgd door concrete acties, waardoor het op dit moment duidelijk
beter gesteld is met de waarborgen voor zorgvuldige omgang met persoonsgegevens door
overheden. De onderzoekers hebben geconstateerd dat de aandacht voor correcte verwerking
van persoonsgegevens na invoering van de AVG een positieve ontwikkeling heeft doorgemaakt.
De kennis van de AVG bij overheden neemt toe. Dat betekent echter niet dat naleving
van de AVG bij de overheid altijd vanzelfsprekend is, wat een zorgelijk gegeven is
gezien de rol van de overheid in de maatschappij. Het is vaak geen bewuste keuze.
Soms ontbreekt voldoende besef dat het beoordelen van AVG-aspecten vooraf moet gaan
aan een verwerking van persoonsgegevens. Slechts zelden is echter expliciet sprake
van een keuze om niet na te leven. Dat zijn uitzonderingen die de regel bevestigen:
het gaat steeds beter met de naleving van de AVG.

Aanbevelingen

Het onderzoek leidt tot een aantal aanbevelingen gericht op versterking van de naleving
van de AVG binnen overheidsorganisaties (hoofdstuk 7).

1. De Minister voor Rechtsbescherming en de Minister van BZK wordt aangeraden om verdere
investeringen bij overheidsorganisaties te doen en een stimulerende rol te pakken
om zo de privacy-organisatie bij overheden steviger te funderen en privacybewustzijn
sterker te verankeren.

2. Bij de overheidsorganisaties is specifiek aandacht nodig voor het tijdig betrekken
van privacybelangen bij de ontwikkeling van (wetgevings)projecten die gepaard zullen
gaan met verwerking van persoonsgegevens, bijvoorbeeld door het tijdig opstellen van
een DPIA en een serieus gesprek over de relevante processen, risico’s en data-ethische
aspecten.

3. Het three lines of defense-model2 wordt breed toegepast en bewijst zijn waarde. De onderzoekers zien wel dat het invullen
van de belangrijke rollen, waaronder aandachtsfunctionarissen in de lijnorganisatie,
moeizaam verloopt. Dit vraagt om gerichte investeringen in bestaande medewerkers,
maar ook om inzet op de aanbodkant van de arbeidsmarkt door het stimuleren van opleidingen
op dit gebied.

4. Organisaties die bij de beoordeling en toetsing een privacy officer en de FG betrekken
geven een betere inhoudelijke invulling aan hun verantwoordelijkheden. Voorwaardelijk
daarvoor is de aanwezigheid van aandachtsfunctionarissen, contactpersonen of aanspreekpunten
in de eerste lijn. De casestudy’s laten zien dat deze functionarissen zeer waardevol
zijn als ambassadeurs van het privacybeleid van de organisatie. Zij kunnen het privacybewustzijn
in de organisatie stimuleren en het belang daarvan bewaken.

5. Voor management en bestuur is het cruciaal dat het belang van privacybescherming wordt
benadrukt, in woord en in daad. Dit behelst voorbeeldgedrag, maar ook organisatorische
borging van bescherming van privacy in de afweging tegen beleidsdoelstellingen.

6. De AP lijkt als toezichthouder vooral de handhavende taak prioriteit te geven. Vanuit
het veld is een duidelijke behoefte aan meer communicatie, voorlichting en sturing
door de AP. Specifiek is het wenselijk om meer (informeel) contact mogelijk te maken
met een meedenkend en adviserend karakter. Voor zover capaciteitsproblemen op dit
vlak terughoudendheid veroorzaken, zou een uitbreiding van die capaciteit mogelijk
soelaas bieden.

7. De AP zou op meer punten een bredere taakopvatting kunnen kiezen. Het zou goed zijn
als er meer werk gemaakt wordt van terugkoppeling bij ingediende meldingen van datalekken.
Ook het systeemgerichte toezicht van de AP (momenteel slechts twee medewerkers) komt
voor versterking in aanmerking, door investeringen in de capaciteit en door de bestaande
netwerken van FG’s effectiever in te zetten.

Reactie

Maatregelen ter versterking van privacy kennis en bewustzijn

De sleutel tot het verbeteren van de bescherming van persoonsgegevens ligt vooral
in het versterken en professionaliseren van de AVG-expertise binnen de organisatie.
Dan kan het gaan om financiële middelen, maar niet alles is een kwestie van budget.
Bewustwording en normbesef zijn begrippen die voor de hele maatschappij gelden: voor
iedere burger, ieder bedrijf en iedere organisatie die persoonsgegevens verwerkt.
De overheid vormt daarop geen uitzondering. Integendeel: de overheid zou zelf voorop
moeten lopen als het gaat om de naleving van wettelijke normen. De overheid heeft
immers een voorbeeldfunctie bij de naleving van wettelijke en verdragsrechtelijke
normen en burgers moeten erop kunnen vertrouwen dat hun gegevens goed zijn beschermd.

In elk geval geldt hoe meer AVG-bewustzijn er is op besluitvormend niveau, hoe meer
voorkomen wordt dat er werkprocessen worden ingericht die indruisen tegen de AVG.
Daarom vergroot het kabinet de kennis over de AVG binnen de Rijksoverheid. Met de
Algemene Bestuursdienst (ABD) zijn afspraken gemaakt dat in het opleidingstraject
van topambtenaren de bewustwording en kennis van de AVG wordt vergroot door middel
van een privacy leergang. Deze ambtenaren kunnen immers bij uitstek bepalende invloed
uitoefenen op de werkprocessen en daarmee ook op de mate waarin gegevensbeschermingsaspecten
in die processen zijn meegenomen. Wanneer de top van een organisatie doordrongen is
van het belang van naleving van de AVG, zal dat zijn weerslag hebben op de organisatie
als geheel.

Het vergroten van kennis en bewustzijn over de AVG bij alle overheidsorganisaties
wordt verder gestimuleerd door het Kenniscentrum van de Interbestuurlijke Datastrategie
(IBDS),3 waarbij verantwoord datagebruik voor maatschappelijke opgaven centraal staat, onderdeel
van de Werkagenda Waardengedreven Digitaliseren. Het kenniscentrum bevat onder meer
een Toolbox verantwoord datagebruik, een wegwijzer voor Privacy Enhancing Technologies
(PET's) en een keuzehulp voor dataopleidingen, waaronder over gegevensbescherming
en beveiliging.4 De IBDS doet dit door verantwoord datagebruik te stimuleren en in samenhang te bezien
wat er (technisch) kan, mag (juridisch) en wat (ethisch) wenselijk is rondom datagebruik
voor het realiseren van maatschappelijke opgaven. Zeker bij nieuwe slimme technologische
toepassingen is dit wenselijk, omdat de ervaring leert dat hierdoor ook de mogelijkheden
om gegevens te verzamelen en te gebruiken toeneemt, zonder dat niet altijd duidelijk
is dat daarmee een risico ontstaat.

Maatregelen om tijdig en integraal privacybelangen mee te wegen

Bij de aanpak van maatschappelijke opgaven, herziening van bestaand beleid of nieuw
beleid door het Rijk wordt het Beleidskompas gevolgd. Daarin staan essentiële elementen
voor een goede beleidsvoorbereiding, waaronder een paragraaf over het uitvoeren van
een DPIA wanneer beleid wordt gemaakt waarin persoonsgegevens worden verwerkt. In
2023 is door BZK een handleiding ontwikkeld om een DPIA Rijksdienst uit te voeren
ten aanzien van beleidsstukken. Aan de ontwikkeling van een Rijksmodel DPIA voor Beleidsstukken
wetgeving wordt momenteel gewerkt. In de praktijk is namelijk gebleken dat in beleid
soms ten onrechte onvoldoende aandacht wordt besteed aan gegevensbeschermingsaspecten.
De handleiding zal een verdere stap zijn in het bewustwordingsproces om in een vroeg
stadium rekening te houden met deze vraagstukken. Tevens heeft de AP voor raadsleden
van gemeenten een handreiking opgesteld die helpt om binnen de gemeente een gesprek
te starten over de privacyaspecten van de inzet van technologie.5 Door deze maatregelen zullen privacyrisico’s en benodigde maatregelen eerder worden
onderkend waardoor niet meer op het laatste moment of achteraf extra maatregelen nodig
zijn.

Daarnaast is in 2023 het DPIA model geactualiseerd onder de vernieuwde naam model
DPIA Rijksdienst. Onderdeel van het model is een proceskader. Ook is er een doorontwikkeld
afwegingskader (Pre-scan DPIA6) beschikbaar gesteld die organisaties binnen de overheid vrijblijvend kunnen gebruiken
om een afgewogen inschatting te maken of het uitvoeren van een DPIA noodzakelijk is.
Door gebruik te maken van deze modellen wordt in een vroegtijdig stadium de focus
gelegd op de grootste privacyrisico’s en de benodigde maatregelen.

Het gebruik van dergelijke DPIA’s is vaak verplicht voor de overheid en ontzettend
belangrijk. Een voorbeeld van het gebruik van zo’n DPIA door de overheid is de DPIA
die op verzoek van uw Kamer is uitgevoerd op het gebruik van Facebook Pagina’s (Facebook
Pages) door de overheid. Uit deze DPIA bleken zeven hoge privacyrisico’s voor burgers
bij het gebruik van Facebook Pages door de Rijksoverheid. Als bij brief van 19 april
jl. (Kamerstuk 32 761, nr. 297) aan uw Kamer medegedeeld is het Ministerie van BZK momenteel in onderhandeling met
Meta – de eigenaar van Facebook Pages – over het wegnemen van deze privacyrisico’s.
De AP heeft bevestigd dat er duidelijkheid moet komen in de rollenverdeling tussen
BZK en Meta en dat indien deze duidelijkheid er niet is, adviseert de AP de verwerkingen
te beëindigen. Vervolgens moeten ook de in de DPIA geconstateerde hoge risico’s weggenomen
worden om gebruik te kunnen blijven maken van Facebook Pages. Tevens is de Europese
Commissie hierover geïnformeerd; zij heeft laten weten onze zorgen serieus te nemen
en bestudeert hoe dit mee te nemen in haar onderzoeken naar de grote tech platforms.
In de hierop volgende weken is er meermaals contact geweest tussen BZK en Meta. Dit
heeft recent geresulteerd in een overleg tussen Meta en meerdere ministeries. We zijn
verheugd dat we nu concreet in overleg zijn en dat Meta heeft aangegeven er met ons
uit te willen komen. Gelet op het feit dat deze gesprekken besloten zijn, kunnen wij
uw Kamer op dit moment nog niet over de inhoud berichten. Het volgende kabinet zal
de gesprekken met Meta definitief tot een goed einde moeten brengen.

De onderzoekers concluderen dat tijdsdruk en de dominantie van beleidsdoelen een verstorende
rol kunnen spelen bij het beoordelen van AVG-aspecten. Het accent ligt dan op de doelmatige
uitvoering van primaire processen, waardoor aandacht voor privacyvraagstukken er soms
bij inschiet. Het kabinet deelt vanzelfsprekend het belang van goede taakuitvoering
van primaire processen en vindt het mede daarom van belang dat gegevensbeschermingsvraagstukken
daarvan vanaf een vroegtijdig stadium deel uitmaken, zodat het belang van adequate
gegevensbescherming goed wordt geborgd en niet achteraf wordt geconstateerd dat een
proces daarmee onvoldoende rekening houdt. Zoals ook de Algemene Rekenkamer vorig
jaar schreef in haar brief aan de Tweede Kamer, biedt de AVG voldoende ruimte voor
het verwerken van persoonsgegevens voor de uitvoering van overheidstaken.7 Het verwerken van persoonsgegevens is mogelijk zolang de baten van de verwerking
goed zijn afgewogen tegen de gevolgen ervan voor burgers en er een wettelijke basis
voor bestaat. De problemen ontstaan niet omdat de AVG zelf een knelpunt is, maar omdat
de door de AVG verlangde afweging niet, of niet op tijd, gemaakt is. Daarbij kan het
zijn dat voor een vorm van verwerking een wettelijke basis ofwel een grondslag moet
worden gecreëerd. Wanneer deze gegevensbeschermingsafweging meteen in de beginfase
wordt meegenomen bij een geconstateerd probleem of beleidsdoel, kan de oplossing van
dat knelpunt versneld worden. Een dergelijke afweging hoeft dan ook niet in de weg
te staan aan primaire processen, mits zij onderdeel is vanaf het beginstadium en niet
pas aan bod komt nadat de belangrijkste beslissingen reeds genomen zijn. Elke organisatie
dient er dan ook op toe te zien dat naleving van de privacywetgeving in een vroegtijdig
stadium bij processen wordt betrokken en dat hier zo nodig intern over wordt gerapporteerd
en erop wordt toegezien. De eerder genoemde privacy leergang van de ABD kan daaraan
bijdragen, nu deze zorgt voor meer bewustzijn op besluitvormend niveau binnen de Rijksoverheid.
Naast deze cursus voor managers is het van belang dat de managers privacy in relatie
zien met de andere I-disciplines. Momenteel wordt er aan gewerkt om privacy onderdeel
te laten zijn van het I-stelsel waardoor de relatie van privacy met de andere I-disciplines
wordt versterkt en aandacht voor privacyaspecten wordt gewaarborgd.

Persoonsgegevens kunnen ook onderdeel uitmaken van de inzet van algoritmen. Vanuit
BZK is een Impact Assessment voor Mensenrechten bij de inzet van Algoritmes (IAMA)
ontwikkeld. Dat is een vrijwillig instrument dat ondersteuning biedt bij het nakomen
van bestaande wettelijke verplichtingen en helpt om AI en algoritmen op verantwoorde
wijze te ontwikkelen en in te zetten. Aangezien er bij de inzet van algoritmes ook
persoonsgegevens kunnen worden verwerkt is er voor de samenhang tussen een DPIA en
een IAMA een Handreiking gezamenlijk gebruik IAMA en Model DPIA Rijksdienst ontwikkeld.

Vanuit BZK wordt ook actief gewerkt aan de ontwikkeling van een Algoritmekader dat
zorgvuldige inzet van algoritmes bevordert bij (overheids)organisaties. Dit kader
legt sterk de nadruk op privacy en gegevensbescherming als essentiële pijlers. De
vereisten van de AVG worden nauwgezet geïntegreerd in het kader, wat zorgt voor helderheid
omtrent de minimale eisen en praktische richtlijnen voor overheidsinstanties gedurende
alle fases van de levenscyclus van algoritmische toepassingen.

Daarnaast is er vanuit BZK recent een Kinderrechten Impact Assessment (KIA) en een
afwegingskader ontwikkeld om kinderen beter te beschermen bij de inzet van digitale
technologieën. Het KIA helpt (overheids)organisaties bij het ontwikkelen of aanbieden
van online producten of diensten aan kinderen, zoals voor onderwijs. Het KIA geeft
aandacht aan alle mogelijke risico’s voor kinderen, waaronder privacy- en gegevensbeschermingsrisico's,
en het waarborgen van de rechten en het welzijn van kinderen. Het KIA kan samen met
een DPIA en een IAMA geïntegreerd worden uitgevoerd. Daarvoor is een Handleiding opgesteld.

Ter stimulering van de verantwoorde ontwikkeling van dataprojecten van overheidsorganisaties
die gepaard gaan met verwerking van persoonsgegevens is er, ook als onderdeel van
de IBDS, de Centrale Commissie Gegevensgebruik opgericht, onder voorzitterschap van
DG Digitalisering, een Adviesfunctie verantwoord datagebruik opgericht.8 Het doel van dit loket is om met een advies gegevensdeling mogelijk te maken en kennis
te vergaren over (on)duidelijkheden over de knelpunten en om deze kennis vervolgens
ook te kunnen delen. Ter structurele borging van dit loket wordt er gewerkt aan de
inrichting van een vast interbestuurlijk triageloket voor gegevensdeling. Hiermee
worden niet alleen Rijksoverheden maar ook medeoverheden geholpen bij het naleven
van de AVG.

Vanuit de Ministeries van JenV en BZK wordt aan de ontwikkeling van (kennis, techniek,
normen, processen) PET's een impuls gegeven door middel van een tijdelijke financiering
van het Nationaal Innovatie Centrum Privacy Enhancing Technologies (NICPET)9, een samenwerking tussen de Nederlandse Organisatie voor toegepast-natuurwetenschappelijk
onderzoek (TNO) en het Centrum Informatiebeveiliging en Privacybescherming (CIP).
Met PET’s is het mogelijk om veiliger data te analyseren en daarbij privacy te waarborgen.
Het is een vorm van dataminimalisatie en kunnen in die zin bijdragen aan een betere
naleving van de AVG. PET’s kunnen daarnaast, wanneer ze worden toegepast binnen de
bestaande wettelijke kaders, een positieve bijdrage leveren aan het aanpakken van
maatschappelijke opgaven en handelingsverlegenheid bij (overheids)organisaties wegnemen.

Op 19 oktober 2023 is een Handreiking over de verheldering van het juridisch kader
en de beantwoording van de vragenlijst van gemeenten met betrekking tot online onderzoek
door gemeenten in het kader van de Openbare Orde en Veiligheid (OOV) gepubliceerd.10 De documenten zijn in nauwe samenwerking met het Ministerie van BZK, JenV en de Vereniging
van Nederlandse Gemeenten (VNG) opgesteld. Dit komt ten goede aan zowel de eenduidigheid
waarmee gemeenten handelen ten aanzien van online onderzoek, als aan de rechtszekerheid,
omdat duidelijker wordt wat van gemeenten op dit gebied kan worden verwacht. De Handreiking
stimuleert tevens gemeenten om actief met hun privacy-organisatie aan de slag te gaan
en na te denken over gegevensbescherming als onderdeel van de werkzaamheden in het
kader van openbare orde en veiligheid. Ook voor Rijksoverheden bestaat er behoefte
aan meer duidelijkheid over wat er is «online» is toegestaan. Dit volgt uit het rapport
«Grondslag gezocht» van de onderzoekscommissie Brouwer naar het Land Information Manoeuvre
Centre (LIMC) van het Ministerie van Defensie.11 In dit rapport werd geconcludeerd dat voor de inzet van (sociale) mediamonitoringtools
door rijksoverheden een integraal kader ontbreekt. De Ministeries van JenV en BZK
zullen gezamenlijk het voortouw nemen om een integraal kader te ontwikkelen.

Voorts geeft de op 16 november 2023 uitgebrachte Handleiding Privacy by Design (PbD)
van het Ministerie van JenV een praktisch overzicht van de stappen die op het gebied
van privacy en gegevensbescherming moeten worden doorlopen bij de ontwikkeling van
nieuw beleid of het ontwerp van nieuwe systemen waarmee persoonsgegevens worden verwerkt.12

Vanuit het Ministerie van BZK is op 11 december 2023 een voorlopig standpunt gepubliceerd
voor Rijksorganisaties bij het gebruik van generatieve AI met daarin aandacht voor
het naleven van geldende wet- en regelgeving, waaronder de AVG.13 Het standpunt wordt verder uitgewerkt in een Handreiking voor Rijksorganisaties bij
het gebruik van generatieve AI. Verschillende acties worden ondernomen om het gebruik
van generatieve AI binnen de Rijksoverheid op een veilige en verantwoorde manier te
bevorderen, waaronder het opzetten van een community om overheidsbreed van elkaar
te leren, kennisdeling via trainingen (via de RijksAcademie voor Digitalisering en
Informatisering Overheid) en andere bijeenkomsten via de community over de mogelijkheden
voor veilig gebruik van generatieve AI. Ook worden interbestuurlijke inkoopvoorwaarden
aangescherpt met het oog op generatieve AI, waarbij publieke waarden als veiligheid,
transparantie, non-discriminatie, privacy- en gegevensbescherming worden geborgd.

Tot slot is een AVG-register door de Rijksoverheid ontworpen voor ministeries, zodat
deze voldoen aan de transparantie- en verantwoordingverplichtingen uit de AVG.14 Alle ministeries in Nederland kunnen het AVG-register gebruiken om de verwerkingsactiviteiten
te publiceren. Het AVG-register biedt naast transparantie de mogelijkheid om verantwoording
af te leggen. Het AVG-register wordt daarnaast gebruikt door de FG’s voor het houden
van toezicht. Het gepubliceerde deel van het AVG-register geeft inzicht in welk type
gegevens wordt verwerkt, waarvoor deze gegevens zijn verzameld, wat er met de gegevens
wordt gedaan en wie er verantwoordelijk is voor de verwerking.

Maatregelen om privacygovernance te versterken en borgen

In de werkagenda Waardengedreven Digitaliseren is opgenomen dat het Ministerie van
JenV en het Ministerie van BZK onderzoeken hoe overheidsorganisaties kunnen worden
ondersteund op het gebied van verantwoord datagebruik en privacy.15 In deze actie is het verkennen van een introductie van een Chief Privacy Officer
(CPO) bij departementen, in de tweede lijn van het three lines of defence-model een van de resultaten. De verkenning van de introductie van een CPO binnen
departementen of binnen CIO Rijk is medio 2023 gestart en loopt tot en met het eerste
kwartaal van 2024. De verkenning van de rol en taken van CPO vindt in nauwe samenwerking
plaats met de departementale FG’s. Het opstellen van een profiel en het positioneren
van een CPO binnen het three lines of defence-model wordt duidelijkheid verschaft over de rol en taken van de CPO in relatie tot
de FG. De CPO’s zullen in 2024 worden opgenomen in het vernieuwde CIO-stelsel waardoor
de interdepartementale samenwerking wordt versterkt.

Ook bij gemeenten wordt gewerkt aan het waarborgen van een goede privacygovernance.
Vanuit de Informatiebeveiligingdienst (IBD) van de Vereniging van Nederlandse Gemeenten
(VNG) zijn functieprofielen voor gemeentelijke privacy officers (PO) en de FG opgesteld.

Maatregelen om de rol van de FG te versterken en borgen

De verantwoordelijkheid voor de naleving van de AVG ligt uiteindelijk bij de verwerkingsverantwoordelijke
onder de AVG, dat is ook logisch: alleen deze partij kan het eigen gedrag aanpassen.
Organisaties moeten zichzelf als het ware «doorlichten». Overheidsorganisaties zijn
bijna altijd verplicht een FG aan te stellen.16 De FG is de onafhankelijke, interne toezichthouder op de toepassing en naleving van
de privacywetgeving binnen de organisatie en vormt het schakelpunt met de externe
toezichthouder (AP). De FG kan ook aan de bel trekken bij misstanden en monitort de
organisatie doorlopend. Zo'n FG moet – ingevolge de wettelijke verplichtingen uit
de AVG -tijdig en naar behoren worden betrokken door het management van de organisatie
en moet voldoende toegang en middelen krijgen om de taken te kunnen vervullen en de
deskundigheid in stand te houden.

Het kabinet vindt de rol van FG binnen een organisatie en daarmee ook binnen de overheid
van groot belang. Dit belang is onlangs ook benadrukt in een onderzoeksrapport van
het Europees Comité voor gegevensbescherming (EDPB) over de positie van de FG binnen
organisaties.17 De Minister voor Rechtsbescherming heeft een verkenning uitgevoerd naar de wenselijkheid
en haalbaarheid van een openbaar (kwaliteits)register voor FG’s. Door de positie van
de FG verder te professionaliseren wordt een belangrijke stap gezet in het versterken
van dat toezicht, ook voor overheidsorganisaties. Een FG is de interne toezichthouder
op adequate gegevensbescherming binnen organisaties en is verplicht voor overheidsorganisaties
en diverse andere sectoren en organisaties. Specifiek voor de overheid heeft het kabinet
in de Geactualiseerde Werkagenda Waardengedreven Digitaliseren 2024 het streven opgenomen
dat inzicht wordt verkregen in hoe de positie en competenties van FG’s kunnen worden
versterkt en hoe een FG register en kwaliteitseisen voor de overheid kunnen worden
opgezet.18

De rol en taken van een FG zijn in grote lijnen wettelijk vastgelegd in de AVG, maar
in de praktijk blijkt het inhoudelijke niveau en de positionering van de ruim 10.000
FG’s in Nederland nogal uiteen te lopen. De grote verschillen tussen FG’s vragen om
nadere beoordeling en mogelijke borging van de eisen die aan de beroepsgroep zouden
kunnen worden gesteld. Een openbaar (kwaliteits)register voor erkende FG’s zou kunnen
bijdragen aan die kwalitatieve impuls, zo bleek uit de genoemde verkenning. Er wordt
momenteel gewerkt aan de praktische kanten van zo’n (kwaliteits)register, waaronder
toetsingscriteria en -procedure, voorwaarden voor toelating tot het register en adequate
bescherming van de gegevens in het register. Het is de verwachting en intentie om
in de loop van 2024 te kunnen komen tot de concrete oprichting en daarmee de operationele
start van het Nationaal Register voor FG’s (NRFG). Ook voor dit vervolgtraject is
JenV de opdrachtgever. De markt wordt actief betrokken bij de oprichting van het (kwaliteits)register
om zo de uitvoerbaarheid, maatschappelijke betrokkenheid en de bekendheid van het
(kwaliteits)register te vergroten. Hoewel met de oprichting van het (kwaliteits)register
een belangrijke stap wordt gezet in het versterken van de positie van de FG, blijft
JenV in gesprek treden met onder andere de AP om te bezien op welke wijze deze positie
nog verder kan worden versterkt, waaronder de optimale positionering van de FG binnen
de organisatie.

De Autoriteit Persoonsgegevens

Tot slot doen de onderzoekers aan de AP enkele aanbevelingen die zien op de taakuitoefening
van de AP.

Op grond van de AVG is elke lidstaat ertoe verplicht een onafhankelijke autoriteit
verantwoordelijk te maken voor het toezicht op de toepassing van de verordening. Voor
Nederland is dat de AP. In artikel 52 AVG is vastgelegd dat de toezichthoudende autoriteit
volledig onafhankelijk optreedt bij de uitvoering van de taken en de uitoefening van
de bevoegdheden die haar overeenkomstig de AVG zijn toegewezen. De leden van de toezichthoudende
autoriteit dienen bovendien bij de uitvoering van hun taken en bevoegdheden overeenkomstig
de AVG vrij blijven van al dan niet rechtstreekse externe invloed van wie dan ook.
Daarmee ligt de onafhankelijkheid van de AP vast, en kan ook het kabinet geen bemoeienis
hebben – direct of indirect – met de uitvoering van de taken en de uitoefening van
de bevoegdheden van de AP overeenkomstig de AVG. Het is dan ook aan de AP zelf om
te bezien of en hoe opvolging wordt gegeven aan de aanbevelingen van de onderzoekers.

Tot slot

De naleving van de AVG blijft in veel gevallen mensenwerk. Dat betekent dat nooit
helemaal kan worden uitgesloten dat de naleving in voorkomende gevallen tekortschiet.
Waar het echter gaat om factoren die een rol spelen bij structurele tekortkomingen,
meent het kabinet met de hiervoor genoemde initiatieven te beschikken over een evenwichtig
pakket aan stappen dat de naleving van de AVG binnen overheidsorganisaties zal bevorderen.

De Minister voor Rechtsbescherming,
F.M. Weerwind

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties,
A.C. van Huffelen