Persoonsgegevens en privacy voldoende beschermd binnen BUCH-gemeenten
Blijkt uit jaarreportage Functionaris Gegevensbescherming
Gepubliceerd: 19 juli 2024
Uit de jaarrapportage van de Functionaris Gegevensbescherming (FG) van de Werkorganisatie BUCH blijkt dat privacy in de basis goed is georganiseerd bij de vier aangesloten gemeenten en binnen de werkorganisatie. In gewoon Nederlands: uw gegevens worden naar behoren beheerd en afgeschermd voor onbevoegde ogen.
In het kader van de Algemene Verordening Gegevensbescherming (internationaal de General Data Protection Regulation, GDPR genoemd, red.) moeten overheden, bedrijven, organisaties toezien op bescherming van persoons- of andere gevoelige gegevens. De functie die daar meestal direct aan is gekoppeld is die van de Functionaris Gegevensbescherming (FG). Ook binnen de BUCH is zo’n functionaris.
De samenvattende conclusie uit de jaarrapportage van die FG is dat bij de BUCH privacy ‘in de basis goed is georganiseerd’. Er zijn actuele beleidstukken, aan bewustwording wordt voldoende aandacht besteed, de privacy officers en security officers werken nauw samen en onderwerpen als datalekken worden adequaat aangepakt. Aandachtspunten zijn dat helderheid in de organisatie nodig is over wie waarvoor verantwoordelijk is en het tijdig betrekken van de privacy officers.
De Functionaris Gegevensbescherming (FG) voert intern toezicht uit en rapporteert jaarlijks over de omgang met persoonsgegevens door de BUCH-gemeenten en – in het verlengde daarvan – de omgang met persoonsgegevens door Werkorganisatie BUCH.
In de bestuurlijke jaarrapportage wordt teruggekeken naar 2023: welke acties en maatregelen zijn in 2023 genomen om de doelstellingen en beginselen uit de AVG te behalen en te waarborgen. Ook worden aanbevelingen gedaan voor het jaar 2024.
In de Werkorganisatie BUCH zijn in 2023 in totaal 35 veiligheidsincidenten gemeld. Daarvan zijn 24 veiligheidsincidenten beoordeeld als datalek. Dertien daarvan zijn gemeld aan de Autoriteit Persoonsgegevens (AP). Bij een datalek kun je in verreweg de meeste gevallen denken aan het versturen van gegevens aan de verkeerde ontvanger of aan meer ontvangers dan gewenst of noodzakelijk. De belangrijkste aanbeveling van de FG is om het privacybeleid 2024-2027 vast te stellen met een specifieke uitwerking per domein. Ook ziet de FG graag dat de rol van de Privacy Officer duidelijk(er) wordt gecommuniceerd in de organisatie.