Mini-congres NVRR 24 november 2017, Mammoni Utrecht

Het goed bezochte mini-congres van de NVRR had twee onderwerpen. Eerst kwam het Rekenkamerkompas aan bod, na de lunch werd aandacht gevraagd voor de verwerking van persoonsgegevens door rekenkamers en de Algemene Verordening Gegevensbescherming (AVG).

Het Rekenkamerkompas

Vincent van Stipdonk presenteerde het resultaat van een jaar lang discussie van onderop binnen/buiten de vereniging over professionaliteit van rekenkamers (als we rekenkamer schrijven bedoelen we ook rekenkamercommissies.) Professioneel wordt praktisch vertaald als dat rekenkamers dat zijn wanneer zij doelgericht, duidelijk, deskundig, transparant en integer zijn. En als zij gericht zijn op verbetering van het eigen functioneren. Daarbij wordt rekening gehouden met maatwerk, omdat er veel verschillende soorten rekenkamers en politiek-bestuurlijke contexten zijn. Met het Kompas kunnen alle rekenkamers zelf de eigen koers bepalen, en bewust keuzen maken over inrichting van de rekenkamer en uitvoering van de activiteiten. Het Kompas is geen handboek, waarin alles van rekenkamers staat uitgelegd, maar is een aanvullend instrument om je te helpen op punten waarvan jouw rekenkamer vindt dat het beter kan of moet.

Het Kompas kent de volgende indeling:

1. Doel/visie
2. Leden
3. Ondersteuning
4. Contacten
5. Programmering en selectie
6. Onderzoeksopzet
7. Onderzoeksuitvoering
8. Evaluatie

En per onderwerp heeft het Kompas een introductie (waarom is dit belangrijk?), aandachtspunten (wat speelt er?), afwegingen (welke keuzen zijn er?) en tot slot voorbeelden. Er zijn al goede praktijkvoorbeelden verzameld, maar dit wordt in 2018 nog verder gevuld. Het Kompas kan gebruikt worden voor discussies op heidagen, voor een intervisie, voor actualisering van een werkwijze- of kwaliteitsdocument, als handreiking voor als iets niet lekker loopt of als naslagwerk. Download hieronder de presentatie.

Tijdens de discussie kwamen veel inhoudelijke opmerkingen en aanvullingen, zoals het wettelijk kader van rekenkamers dat ook een plaats verdient in het Kompas. Deze en toekomstige aanvullingen nemen we vanzelfsprekend mee. Het Kompas is natuurlijk nooit af. Wat goed is om te constateren merken is dat we door middel van het Kompas op een inhoudelijke manier van onderop de discussie over professionaliteit voeren.

Zoals gezegd gaan we in 2018 nog goede praktijkvoorbeelden verzamelen om het Kompas verder te vullen. Daarbij constateren we dat er eigenlijk al heel veel aanwezig is, zoals op de webpagina’s van de NVRR-Wiki. We gaan in 2018 bekijken hoe het Rekenkamerkompas kan helpen die informatie toegankelijker te maken. En we gaan ook in 2018 zorgen voor een goede landing van het Kompas bij de rekenkamers.

Rekenkamers en persoonsgegevens en de AVG

Op dit onderwerp startte Tanja Groenendijk-de Vos, voorzitter van de Rekenkamer Delft. Zij vertelde over het vraagstuk van gebruik van persoonsgegevens bij rekenkameronderzoek naar het sociaal domein. Hoe verhouden de privacybelangen van kwetsbare burgers zich tot de belangen van de uitvoering van een publiekrechtelijke taak? Om uitspraken te kunnen doen over het effect van de interventies van gemeenten, moet je als rekenkamer kunnen beschikken over persoonsgegevens uit de dossiers. Deze bevatten bijzondere persoonsgegevens en voor het verwerken van deze gegevens is vooraf toestemming van de betrokkene vereist. De Autoriteit Persoonsgegevens (AP) heeft daarover geen nieuwe zienswijze willen opstellen. Wel stelt de AP in haar advies over de Uitvoeringswet Algemene Verordening Gegevensbescherming (AVG) voor om een “uitzondering op te nemen voor het verwerken van bijzondere persoonsgegevens door lokale rekenkamers … vanwege toezicht op besteding van decentralisatiegelden in het sociale domein.” Indien dit advies begin 2018 door de Tweede Kamer  wordt overgenomen, is voor rekenkamers een drempel weggenomen om met behulp van bijzondere persoonsgegevens onderzoek te doen naar de effectiviteit van interventies in het sociaal domein. Download hieronder de presentatie van Tanja Groendendijk-de Vos.

Daarna gaf Paul Breitbarth, Director of EU Certification Research bij Nimity, Canadees onderzoeksbureau en softwarebedrijf, een goed inzicht in de gevolgen van de implementatie van de AVG. De verordening vervangt de Wet bescherming Persoonsgegevens uit 2001. De AVG is al vanaf 25 mei 2016 in werking, en moet 25 mei 2018 volledig zijn geïmplementeerd. Het geeft EU-breed invulling aan de bescherming van de grondrechten op privacy en gegevensbescherming, geldend voor overheden en bedrijven. Resultaat is een scherper toezicht op alles wat met (bijzondere) persoonsgegevens wordt gedaan, zoals verzamelen, bewaren, bewerken, verwerken door en/of namens de verantwoordelijke gemeente. En meer transparantie en rechten voor burgers.

Kernbegrippen van de wet zijn rechtmatigheid, behoorlijkheid en transparantie. Verder is er sprake van doelbinding, er mogen alleen gegevens verwekt worden voor vooraf helder gespecificeerde doeleinden. Verdere verwerking is alleen toegestaan als dat verenigbaar is met het oorspronkelijke doel. Er moet sprake zijn van een controle op de beveiliging en juistheid van gegevens en gegevensminimalisatie (niet meer gegevens verzamelen dan strikt nodig is).

In de presentatie ging Paul Breitbarth in op veel aspecten van de AVG, zoals de grondslagen waarop gegevens verwerkt mogen worden en de te betrachten transparantie daarop. Teveel om hier overal diep op in te gaan, voor de presentatie klik hieronder. Voor rekenkamers is de grondslag ‘Publiek belang’ van betekenis. De rekenkamer is bevoegd alle documenten die berusten bij het gemeentebestuur te onderzoeken, voor zover zij dat ter vervulling van haar taak nodig acht. Verwerking op basis van die grondslag is alleen rechtmatig als voldaan is aan de vervulling van een taak van algemeen belang of in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen. Echter, er geldt een verwerkingsverbod voor bijzondere persoonsgegevens, waaruit iemands ras, etniciteit, politieke opvattingen, religieuze of levensbeschouwelijke opvattingen enz. geïdentificeerd kan worden. Daarbij moet meegenomen worden dat verwerking onder pseudoniem niet altijd garant staat voor een anonieme verwerking. Als een rekenkamer gegevens verwerkt of laat verwerken, moet er een verwerkersovereenkomst gesloten worden, met details over de verantwoordelijke, de verwerker en sub-verwerkers. En afspraken over beveiligingseisen en verwijderen van de gegevens bij beëindiging.

Er worden in de AVG nadere richtlijnen gegeven over de meldplicht bij datalekken en het aanstellen van de Functionaris gegevensbescherming (FG). Ook rekenkamers moeten beschikken over een FG. Daarbij kunnen ze gebruik maken van de FG die door de gemeente/PS/waterschap is aangesteld, maar rekenkamers kunnen ook samen een FG ‘delen’. Kortom, rekenkamers hebben ook nog wat te regelen voor 25 mei 2018. Het Ontwikkelteam van de NVRR gaat bekijken hoe de NVRR rekenkamers hierbij van relevante informatie kan voorzien.