Klantcase: Grip op persoonsgegevens door inzet van de i-Navigator
Op 25 mei 2018 moeten alle organisaties die persoonsgegevens verwerken voldoen aan de Algemene Verordening Gegevensbescherming (AVG). Met de inwerkingtreding van de AVG komt de Wet bescherming persoonsgegevens (Wbp) te vervallen. Waar het voldoen aan de verplichtingen onder de Wbp nog op basis van vertrouwen ging vindt er, met het van kracht worden van de AVG, een verschuiving plaats van vertrouwen naar bewijzen. Dit houdt in dat organisaties aantoonbaar grip moeten hebben op de verwerkingen van persoonsgegevens in de organisatie. De weg naar grip start met een complete inventarisatie van deze verwerkingen. Goed startpunt voor deze inventarisatie is te kijken vanuit de werkprocessen die een organisatie uitvoert. Per werkproces wordt vervolgens gekeken of de persoonsgegevens worden verwerkt en zo ja welke metagegevens er bij de verwerking horen.
Om dit in kaart te brengen voor de honderden werkprocessen die een gemeente uitvoert, is een aanzienlijke operatie. Gelukkig bestaat er al een basis in de vorm van VIND Informatiemanagement bestaande uit o.a. het Model-DSP en de i-Navigator. Het Model-DSP is een complete inventarisatie van alle werkprocessen en alle informatie die daarin een rol speelt. De i-Navigator is een tool die inzicht, overzicht, mutatie en distributiemogelijkheden van Model-DSP metadata naar uitvoerende applicaties faciliteert. Voor de redactie van het Model-DSP was het dus een kleine stap om vanuit deze basis aan de slag te gaan met de AVG en deze gegevens op modelniveau vast te leggen.
De gemeente Huizen koos ervoor om de i-Navigator in te zetten als centraal referentiepunt voor de implementatie van de AVG. Iris Janssen, interim coördinator IDV van de gemeente Huizen: ‘Als je kijkt naar het aantal processen dat wij als gemeente gebruiken zit je op zo’n 400 tot 450 werkprocessen. Als je van al die processen moet gaan bepalen wat we wel en niet vastleggen aan persoonsgegevens en we ook nog hadden moeten kijken wat we eigenlijk vast mogen leggen, dan had dat onze organisatie heel veel capaciteit gekost. Nu heb je de basis al – we weten op basis van de metadata in het model-DSP wat we mogen vastleggen en wat de standaard is – dus je hoeft in je eigen organisatie alleen nog op zoek te gaan naar de verschillen.’
Dat is ook de ervaring van Ben Bilyj, coördinator informatiebeheer bij de gemeente Heemskerk: ‘De i-Navigator is een goede tool om te visualiseren welke werkprocessen er zijn. In de i-Navigator komen veel takken van sport samen, dat zie je nu met de AVG implementatie. De AVG metadata maken het proces completer. Met behulp hiervan kunnen wij beter onderscheiden waar privacygevoelige gegevens zitten en wat daarvoor de selectie- en vernietigingstermijnen zijn.’
De i-Navigator speelt binnen de gemeente Heemskerk ook een belangrijke rol in het privacybewustzijn van de organisatie. Monica Braun, procesanaliste bij de gemeente Heemskerk: ‘Ik merk dat het nog helemaal niet duidelijk is voor een heleboel mensen wat de AVG nu eigenlijk betekent, ondanks dat het een lange aanloop heeft gekend. Door in gesprek te gaan op basis van de i-Navigator zie je dat het bij veel medewerkers de ogen opent. Het wordt gewoon tastbaarder en spreekt meer. ‘
Wanneer een organisatie een abonnement heeft op het Model-DSP, is de tooling voor de AVG implementatie al in huis. Iris Janssen: ‘Vooral omdat we de i-Navigator in de gemeente Huizen al hadden draaien en het onderdeel is van de standaardoplossing ben je gek als je daar zelf nog iets voor zou gaan ontwikkelen’.
Hulpmiddel Functionaris Gegevensbescherming
De i-Navigator helpt ook de functionarissen gegevensbeheer op weg in de inventarisatie van persoonsgegevens binnen de werkprocessen. ‘In de gemeente Huizen heeft de Functionaris Gegevensbescherming (FG) toegang tot de i-Navigator om daar AVG-zaken vast te leggen. Er zijn duidelijke afspraken welk onderdeel zij wel of niet mogen bewerken. De FG kan zich zo richten op invulling van de AVG en het team IDV kan zich richten op de processen voor het zaakgericht werken.’ Ook de gemeente Heemskerk zal dit op een soortgelijke manier gaan organiseren. ‘Onze ervaring was dat de FG de AVG implementatie heel theoretisch en op een abstract niveau aanvloog met een eerste focus op beleid en procedures. Vaak zijn privacy officers medewerkers met juridische kennis, maar met minder kennis van de praktijk en de processen. Daar vullen de twee vakgebieden elkaar mooi aan’ aldus Monica Braun en Ben Bilyj.
Een bijkomend voordeel van inzet van het Model-DSP is dat, wanneer er nieuwe werkprocessen bijkomen ten gevolge van nieuwe wet- en regelgeving of normenkaders, deze direct, inclusief de AVG metadata behorende bij het proces, opgenomen worden in de i-Navigator. Zo blijft niet alleen het overzicht van de informatiehuishouding actueel maar ook het centrale verwerkingsregister.
Voor de gemeente Huizen was de totaalaanpak rondom privacy en informatieveiligheid een belangrijke reden om de i-Navigator in te zetten voor de AVG implementatie. ‘Voor ons is het werken met de i-Navigator een hele mooie aanvulling die bij onze manier van werken past.’ Met name omdat Huizen heeft gekozen voor de inzet van het ISMS van Recourse, waarvoor VHIC de normenkaders heeft vertaald naar maatregelensets die direct zijn gekoppeld aan processen in het Model-DSP. ‘Op die manier maken we in Huizen de cirkel rond. We hebben straks de i-Navigator waarin alle werkprocessen beschreven staan. De verantwoording vindt plaats via het ISMS en de daadwerkelijke verantwoording vind je terug in het zaaksysteem.’ Zo wordt informatieveiligheid en privacy een onderdeel van je totale proces- en daaraan gekoppelde informatiehuishouding.