Rob Geurts, informatiemanager bij de gemeente Zutphen

‘Een juiste privacyafweging vergt voldoende kennis en ervaring’

Rob Geurts hecht veel belang aan privacy, zowel privé als op zijn werk. De adviseur Informatiemanagement bij de gemeente Zutphen hoefde daarom niet lang na te denken toen hij een project mocht oppakken buiten zijn vakgebied. “Mijn doel is bereikt als de medewerkers weten wat privacygevoelige gegevens zijn en er zorgvuldig mee omgaan.”
Tekst: René Schellingerhout

Fotografie: René Schellingerhout / gemeente Zutphen

34 35 36 en 37 Rob Geurts gemeente ZutphenWie de ontvangstruimte van het Zutphense gemeentehuis betreedt kan er niet omheen; de tekst van artikel 1 van de Grondwet is prominent in de gekromde muur geschreven. De gemeenteambtenaren in Zutphen leren sinds kort ook veel over het centrale thema in Artikel 10 tot en met 13 uit diezelfde Grondwet: privacy. Met dank aan hun collega Rob Geurts. Hij werd begin 2014 net als zijn collega’s door de gemeentesecretaris uitgedaagd om aan de slag te gaan met een project buiten zijn reguliere functie. Voor Geurts was de keuze voor een thema snel gemaakt. “Ik wilde privacy op de agenda zetten. Persoonlijk vind ik privacy van grote waarde. Dat zal voor de inwoners van Zutphen niet anders zijn.”

Als adviseur Informatiebeveiliging werkte Geurts voor privacyvraagstukken samen met een jurist van de gemeente. Door veranderingen in de organisatie kwam de aandacht voor privacy onder druk te staan. Geurts bleef daarna regelmatig tegen privacyvraagstukken aanlopen. Hij formuleert zorgvuldig waarom dit onderwerp zo van belang is. “De privacyuitdagingen voor gemeenten zijn tamelijk groot, er moet daarom voldoende kennis en ervaring aanwezig zijn. Dat is een vereiste om de juiste afwegingen te kunnen maken bij het omgaan met privacygevoelige gegevens. Bijvoorbeeld bij de behandeling van WOB-verzoeken of het uitwisselen van privacygevoelige data met externe partijen. En zo zijn er meer voorbeelden.”

Herkenbaar

Voor zijn privacyproject kreeg Geurts een beperkt aantal uren toebedeeld. “Binnen die tijd wilde ik twee doelen bereiken. Het thema privacy bij managers onder de aandacht brengen en de medewerkers een basiscursus privacy geven.” Hij begon met het voeren van gesprekken met afdelingshoofden over het belang van privacy. “Daarbij heb ik ze actuele en herkenbare privacysituaties voorgelegd. Dat spreekt het meest aan.” Vervolgens was het managementteam (MT) aan de beurt. “Met een presentatie in het MT wilde ik het belang van privacybescherming nog eens benadrukken. Omdat ik zelf inhoudelijk geen privacydeskundige ben, heb ik contact opgenomen met Stichting Privacy Nederland (SPN). De presentatie die we samen hebben gegeven voorzag bij de MT-leden duidelijk in een behoefte gezien het aantal vragen dat ze stelden. Bijvoorbeeld over de impact van de te verwachten Europese verordening en over de nieuwe Nederlandse privacywetgeving. Maar ook over de nieuwe rol van de FG’er en de tijd die nodig is om deze functie goed in te kunnen vullen.” Geurts noemt de presentatie ‘zeer geslaagd’. “Uit het grote aantal vragen blijkt dat het thema privacy leeft bij het management. Het team is zich bewust van haar verantwoordelijkheid op dit terrein. Wel vindt ze het lastig om die verantwoordelijkheid om te zetten in concrete activiteiten.”

“Het management is zich zeer bewust van haar verantwoordelijkheid op privacygebied”

Ontlast

Na de presentatie in het MT kon Geurts verder met twee opdrachten: beginnen met de nulmeting, de eerste van vijf stappen van de privacy toolkit van SPN. En starten met het geven van presentaties over privacy in werkoverleggen. “De vragenlijst van de nul-meting heb ik uitgezet bij afdelingshoofden en teamleiders. De digitale lijst is vooral ingevuld door medewerkers die met privacygevoelige informatie in aanraking komen. De response was goed, de analyse van de antwoorden gebeurt door SPN.” De samenwerking met de stichting neemt Geurts veel werk uit handen, stelt hij. “De privacy toolkit van SPN helpt mij om dit project gestructureerd en stap voor stap uit te voeren. Hun bijdragen aan de gesprekken en de presentatie aan het MT, het verzorgen van de nulmeting en de analyses, dat ontlast mij enorm. Bovendien is het prettig om met deskundigen van buiten de gemeente te kunnen sparren.”

Perspectieven

In de presentaties aan zijn interne collega’s is bewustwording Geurts’ belangrijkste doel. “Dat doe ik onder meer door te laten zien hoe ver de gevolgen kunnen strekken van het niet naleven van privacyvoorschriften. Ik laat collega’s vanuit twee perspectieven naar privacy kijken; als medewerker van de gemeente Zutphen en als inwoner van de stad. Zo leg ik ze de vraag voor: ‘Hoe zou jij het zelf vinden als jouw identiteit door een ander wordt misbruikt?’ Door vanuit verschillende rollen naar privacy te kijken, worden de medewerkers zich meer bewust van hun eigen rol en verantwoordelijkheid bij het beschermen van privacy.”

“Hoe zou jij het zelf vinden als jouw identiteit door een ander wordt misbruikt?”

Geurts gebruikt de presentaties ook om de medewerkers de beginselen van privacy bij te brengen. “Het is een basiscursus privacy. Ik behandel de belangrijkste privacybegrippen. Wanneer is een gegeven een persoonsgegeven, wat wordt verstaan onder verwerken, dat soort dingen. Ook heb ik enkele algemene spelregels geformuleerd op privacygebied. Bijvoorbeeld: ‘Minder gegevensverwerking is meer privacy’. Het is een basale cursus die voor iedereen interessant is.” Hij heeft naar eigen zeggen zijn doel bereikt als de medewerkers weten wat privacygevoelige gegevens zijn en er zorgvuldig mee omgaan.

Verdiepen

Geurts, die geen professionele privacyachtergrond heeft, verdiept zich al langer in het thema. “Als informatiebeveiliger kom ik al jaren in aanraking met privacygevoelige gegevens. Uit belangstelling voor dit onderwerp ben ik er veel over gaan lezen. Ik bekijk regelmatig de website van het CBP voor onder meer de privacyrichtlijnen. Daarnaast bewaar ik al een tijdje nieuwsberichten over privacyincidenten. Die incidenten gebruik ik ook in mijn presentaties.”

Geurts wil dat het thema privacy ook na zijn tijdelijke project op het Zutphense netvlies blijft staan. “Afdelingshoofden en teamleiders spelen daarbij een cruciale rol. Zij moeten privacy als thema blijven aansnijden bij hun medewerkers. Alleen dan blijft iedereen zich bewust van het belang van privacybescherming en de eigen verantwoordelijkheid daarbij.”
Geurts tot slot: “SPN heeft de analyse van de resultaten van de nulmeting goed afgerond en aangeboden aan de gemeente. Het management stelde hierover constructief-kritische vragen, wat aantoont hoe betrokken zij is bij dit thema. Begin 2015 wordt de verdere samenwerking in het kader van de follow-up met een GAP-analyse vormgegeven.”

Aanbevelingen Rob Geurts

• Beleg privacy in je organisatie. Wijs iemand aan die verantwoordelijk is voor privacy en privacycompliance.
• Werk stap voor stap aan privacy. Door een privacyprogramma in onderdelen aan te bieden, is het makkelijker uit te voeren dan wanneer je alles in één keer aanbiedt. Het vijfstappenplan van de SPN-toolkit is hiervan een goed voorbeeld.
• Communiceer zowel top-down als bottom-up. Privacy is een zaak van het management én van de medewerkers.
• Zoek externe ondersteuning als er weinig of geen privacykennis en -expertise in huis is.