Gemeenten en privacy: de inzet van technologie en samenwerkingsverbanden
Rapport Bits of Freedom
Uit de rapportage van Bits of Freedom blijkt dat negen van de tien grootste gemeenten niet voldoen aan de AVG. Gemeenten hebben niet voldoende overzicht in de gegevens die zij verwerken. Daarnaast blijken zij onvoldoende kennis te hebben van de beveiliging daarvan. Als gemeenten niet weten welke persoonsgegevens zij allemaal in huis hebben en het overzicht hiervan niet compleet is of zelfs ontbreekt, is het risico dat deze gegevens in verkeerde handen vallen aanzienlijk. Daarnaast blijken verwerkingsregisters niet compleet en actueel, waardoor gemeenten niet voldoende weten welke gegevens ze verwerken, met welk doel, of dat rechtmatig en veilig is en met wie er wordt samengewerkt. Bij inzageverzoeken blijken processen niet op orde. Wettelijke termijnen blijken zonder legitieme reden te worden verlengd en overschreden. Dat is zorgwekkend nu gemeenten veelal over een schat aan informatie over hun burgers beschikken. Variërend van BSN-nummers tot de omstandigheid of iemand een lichamelijke en / of geestelijke beperking heeft en daardoor afhankelijk is van bepaalde soorten hulp.
Hoe kunnen gemeenten hun basisverplichtingen uit de AVG verbeteren? Door te beginnen met het voortdurend vullen en actueel houden van het verwerkingsregister. Organisaties zien dit vaak als een eenmalige klus, maar het is in feite een doorlopend proces waarbij met regelmaat kritisch moet worden gekeken naar nut en noodzaak van verwerkingen. Zijn deze nog noodzakelijk en rechtmatig, voldoen deze aan het beginsel van dataminimalisatie? Kunnen verwerkingen worden gestopt? Is voldoende in kaart gebracht met welke partijen wordt samengewerkt en is duidelijk vanuit welke hoedanigheid en bevoegdheid? Is er sprake van (gedeelde) verwerkingsverantwoordelijkheid of van een verwerker? Zijn de daarbij behorende overeenkomsten goed afgesloten?
De gevolgen van het niet op orde hebben van de verplichtingen uit de AVG kunnen aanzienlijk zijn. De AP kan handhavend optreden en forse boetes opleggen, een last onder dwangsom opleggen of onderzoeksresultaten publiceren. De AP heeft voor de periode 2020-2023 afgekondigd om extra focus te leggen op onder meer de digitale overheid, artificiële intelligentie en algoritmen.
Inzet van nieuwe technologie
Gemeenten willen graag ‘datagedreven’ werken en willen graag nieuwe technologieën uitproberen. Gemeenten maken dus steeds vaker gebruik van innovatieve technologieën. Denk bijvoorbeeld aan de inzet van camera’s of het gebruiken van algoritmen. Dit kan aanzienlijke voordelen opleveren, maar kan ook gepaard gaan met privacyrisico’s. De AP adviseert bij de inzet van technologieën waarbij algoritmen worden gebruikt een Impact Assessment voor mensenrechten en algoritmes (IAMA) uit te voeren.
Als de basis namelijk nog niet op orde is, is een risico dat van de gegevens die worden ingezet de rechtmatigheid, betrouwbaarheid en actualiteit nog niet gecontroleerd zijn. De risico’s van de inzet van deze gegevens bij het gebruik van bijvoorbeeld big data of algoritmen zijn alsdan niet te overzien.
Zorg er dus voor dat de basisverplichtingen uit de AVG goed op orde zijn voordat wordt begonnen met ‘datagedreven werken’ met behulp van nieuwe technologieën (algoritmen en big data).
De AP heeft in de drie handreikingen een aantal vragen geformuleerd om raadsleden te helpen om het college van burgemeester en wethouders (B en W) te controleren. Denk aan vragen als ‘Waarom is de inzet van deze technologie noodzakelijk?’ Gemeenten dienen namelijk voorafgaand aan de verwerking de noodzakelijkheid van de persoonsgegevensverwerking te onderzoeken, bijvoorbeeld door het uitvoeren van een Data Protection Impact Assessment (DPIA). Daarnaast moet het college transparant zijn over de persoonsgegevensverwerking en burgers informeren over de verwerking van hun persoonsgegevens en de wijze waarop.
Samenwerkingsverbanden en privacy
Gemeenten werken veel samen met externe partijen in samenwerkingsverbanden om domein overstijgende taken uit te kunnen voeren. Denk aan samenwerking met politie, UWV en /of woningcorporaties. Binnen een samenwerkingsverband worden mogelijk persoonsgegevens van inwoners gedeeld. De AP stelt in de handreiking dat inwoners niet of onvoldoende op de hoogte zijn van het feit dat hun persoonsgegevens worden verwerkt binnen een samenwerkingsverband. En dat heeft invloed op de controle. Tenslotte moeten gemeenten bijhouden in welke samenwerkingsverbanden wordt deelgenomen in een verwerkingsregister.
Wilt u de handreikingen zelf lezen?:
Gemeenten en privacy: wat kunt u als raadslid doen?
Gemeenten en privacy: wat kunt u als raadslid doen bij samenwerkingsverbanden?
Gemeenten en privacy: wat kunt u als raadslid doen bij de inzet van technologie?
Wilt u meer weten over dit onderwerp of heeft u vragen over privacy? Ondervindt u als gemeente problemen met de implementatie van de AVG, bijvoorbeeld het opstellen van een verwerkingsregister of het uitvoeren van een DPIA of IAMA binnen uw organisatie? Elferink & Kortier Advocaten staat voor u klaar. Neem bij vragen gerust vrijblijvend contact met ons op.
Mirjam Elferink en Martijn Kortier geven regelmatig trainingen over de AVG en privacy en zijn beiden lid van de VPR-A, de Vereniging Privacyrecht Advocaten met het keurmerk specialisatievereniging van de Nederlandse Orde van Advocaten.