Digitale weerbaarheid
Podium

Is privacy veilig bij de overheid?

De overheid verzamelt en combineert steeds meer gegevens over burgers, vaak al voordat er een wettelijk kader voor is. Vooral bij nieuwe samenwerkingsverbanden wordt de 'surveillance-staat' steeds meer werkelijkheid en heeft privacy niet bepaald prioriteit.

‘We gaan eerst regelen hoe we het hebben willen en daarna als alles draait, gaan we nog eens kijken naar de omgang met persoonsgegevens…’

Privacy is een van de belangrijkste grondrechten van burgers en het is cruciaal voor dat andere grondrecht, de ‘vrijheid van meningsuiting’. Privacy maakt het ons mogelijk om ons werkelijk vrij te voelen, zonder continue spiedende ogen van de overheid. Door de ICT-revolutie zijn de technische mogelijkheden voor het delen van persoonsgegevens enorm toegenomen. Steeds makkelijker kunnen overheden gegevens die zij voor een bepaald doel hebben verkregen gebruiken voor een ander doel óf die gegevens verstrekken aan weer andere overheden die ze gebruiken voor een ander doel. De ‘overheid’ (alle overheden tezamen) heeft zo de beschikking over gigantisch veel gegevens van burgers. Door al die gegevens naast elkaar te leggen en te analyseren zou zij burgers eenvoudigweg kunnen uittekenen tot in hun haarvaten. Google en Facebook zijn er niets bij. De ‘overheid’ als veelkoppig monster dat vanuit beheersdrift maar wellicht onbedoeld deze maatschappelijk verworvenheid ondermijnt. De voorspelling van George Orwell lijkt uit te komen: Big Brother is watching you. De ‘surveillance-staat’ wordt steeds meer werkelijkheid … Wat rest de burger dan te doen?

Met stoom en kokend water

Op 1 januari 2015 is gestart met de invoering van de WMO en Jeugdwet. Gemeenten verwerken meer persoonsgegevens dan ooit tevoren waaronder ook veel gevoelige – bijzondere – persoonsgegevens, zoals gegevens met betrekking tot de gezondheid. Maar waren de gemeenten hier inmiddels klaar voor? Hadden zij enig idee wat hierbij komt kijken? Allerminst, maar dat belette het Kabinet niet om toch te kiezen voor de ingangsdatum van 1 januari 2015. En de gemeenten zelf, die richtten zich vooral op de inkoop van zorgcontracten, het opstellen van verordeningen, het binnenkrijgen van gegevens over PGB-klanten, het opzetten van wijkteams et cetera. Naast alle zaken die gemeenten gereed moesten hebben voor 1 januari was er dan ook nog de bescherming van persoonsgegevens, door veel beleidsmakers en uitvoerders toch gezien als een soort sluitstuk. We gaan eerst regelen hoe we het hebben willen en daarna als alles draait, gaan we nog eens kijken naar de omgang met persoonsgegevens… En als dan onverhoopt niet kan wat we allemaal hadden bedacht dan ligt dat natuurlijk aan die vermaledijde privacyregels, zo is het gevoelen bij vele uitvoerders maar ook bestuurders.

Mens is het sluitstuk

Dit is een wijdverbreid patroon dat zich voordoet in alle lagen van de overheid, van departementen tot ZBO’s en dus ook bij samenwerkende gemeenten in WGR-regio’s. Telkens weer beginnen bestuurders, beleidsmakers met nieuwe doelen, nieuw beleid, nieuwe taken, het oprichten van samenwerkingsverbanden et cetera zonder dat zij zich voldoende rekenschap geven van het feit dan persoonsgegevens zullen worden uitgewisseld en dat ze daarbij moeten voldoen aan wettelijke verplichtingen. Er worden werkprocessen en bedrijfsprocessen ontwikkeld zonder rekening te houden met de informatieprocessen en de wetgeving daarover. Het zijn als het ware twee autonome stromen en dat loopt keer op keer spaak met de nodige ergernis van dien.
De regionale coördinatiecentra fraudebestrijding (RCF’s) zijn een goed voorbeeld hiervan. Dit is een landelijk dekkend netwerk van samenwerkingsverbanden van gemeenten, belastingdienst en uitkeringsinstanties zoals de UWV dat werd opgericht in 2003. Maar het duurde tot 2014 voordat de wet Structuur Uitvoeringsorganisatie Werk en Inkomen (Suwi) werd gewijzigd en de gegevens- uitwisseling zoals die al jaren in deze samenwerkingsverbanden plaatsvond eindelijk wettelijk werd geregeld.

Paard achter de wagen

De afgelopen jaren werden er door gemeenten nog tal van andere samenwerkingsverbanden opgericht, middels de Wet gemeenschappelijke regelingen (Wgr). Dit gebeurde bij gemeenschappelijke sociale diensten, GGD’s en bijvoorbeeld bij de Omgevingsdiensten. Maar in de Wet algemene bepalingen omgevingsrecht (Wabo), de wet die de Omgevingsdiensten moeten uitvoeren, stond niets over hoe in deze nieuwe samenwerkingsverbanden met de uitwisseling van persoonsgegevens moest worden omgegaan. Het wetsvoorstel Vergunningverlening Toezicht en Handhaving is februari 2014 naar de Tweede Kamer gezonden, maar de Omgevingsdiensten zijn al lang en breed gestart. Totdat de nieuwe wet van kracht wordt, is het behelpen voor wat betreft de uitwisseling van persoonsgegevens. Opvallend is trouwens dat de Omgevingsdiensten niet worden genoemd in de inventarisatie van samenwerkingsverbanden in het recente Rapport ‘Kennis delen geeft kracht’ van de Werkgroep Verkenning kaderwet gegevensuitwisseling. Dit rapport is rond de jaarwisseling door de Minister van VenJ naar de Tweede Kamer gezonden. Zijn de omgevingsdiensten dan geen samenwerkingsverbanden op het terrein van fraudebestrijding?

Hap-snap-beleid

Dit soort voorbeelden laten zien hoe het gesteld staat met de omgang met de bescherming van persoonsgegevens door de overheid. De diverse departementen werken flink langs elkaar heen, dit beleid doet sterk vermoeden dat de prioriteiten kennelijk ergens anders hebben gelegen dan bij het beschermen van de private levenssfeer van burgers. Dit is ook niet iets van vandaag of gisteren, in de Wet gemeenschappelijke regelingen (Wgr) worden tal van bepalingen gegeven over de vorming van een ‘samenwerkingslichaam’ of een ‘gemeenschappelijk orgaan´ maar het begrip persoonsgegevens komt er niet in voor. Het kwam ook niet voor in de oorspronkelijke Memorie van Toelichting bij de Wgr uit 1992. Er wordt dus nergens toegelicht hoe er in dat type samenwerkingsverbanden moet worden omgegaan met de verantwoordelijkheid voor de verwerking van persoonsgegevens en hoe moet worden omgegaan met allerhande geheimhoudingsbepalingen. Ook in de Memorie van Toelichting bij de Wet bescherming persoonsgegevens uit 1997 werd nergens een verband gelegd met de Wgr.

Ook bij Omgevingsdiensten & Veiligheidshuizen

Tijdens de oprichting van de Omgevingsdiensten werd ook door gemeenten en provincies wederom te weinig aandacht besteed aan het informatieproces. Wat in de Wgr en de Wabo een blinde vlek was, is voor velen nog steeds een ‘terra incognita.’ Toch doen zich juist bij samenwerkingsverbanden de grootste problemen voor bij het structureel en systematisch delen en uitwisselen van persoonsgegevens. Dit zou veel beter moeten worden geregeld zowel landelijk als lokaal.
Hetzelfde kan worden gezegd over de Veiligheidshuizen. Dit zijn samenwerkingsverbanden van gemeenten, Openbaar Ministerie, politie, reclasseringsinstellingen, Raad voor de Kinderbescherming en vaak ook zorg- en welzijnsinstellingen die vanaf 2002 – in navolging van de gemeente Tilburg – overal in het land werden opgericht. Doelstelling van de Veiligheidshuizen is te komen tot een ‘ketenoverstijgende aanpak van complexe problematiek om ernstige overlast en criminaliteit te bestrijden’. Er wordt in het landelijke kader echter niet ingegaan op ontwikkelpunten ten aanzien van het ‘hoe’, zoals vraagstukken rond informatie-uitwisseling en privacy. Weer een omissie, je vraagt je af wat er anders in een landelijk kader zou horen te staan. Ook de daarna verschenen Handreiking Privacy Governance Veiligheidshuizen helpt de gemeenten wel op weg maar biedt nog steeds niet het overzicht van de rechtmatigheidsgrondslagen en geheimhoudingsbepalingen van alle deelnemende partners terwijl dat nu juist zo hard nodig is.

Onbewust onbekwaam?

In dit artikel wordt gesproken over de onwetendheid en onbekendheid bij een groot deel van bestuurders en politici. De onwetendheid over de privacyregelgeving is inderdaad groot, niet alleen bij bestuurders maar ook bij gemeentesecretarissen. In 2010 gaf één van de auteurs een voorlichting over de omgang met persoonsgegevens aan een kring van gemeentesecretarissen in het zuiden van het Land. Na afloop staken de gemeentesecretarissen hand in eigen boezem en verzuchtten dat de gemeenten nog erg veel te doen hadden op dit gebied. Dat was 9 jaar na het in werking treden van de Wet bescherming persoonsgegevens in 2001.
De wijsheid achteraf zegt dat je in dergelijke gevallen eerst moet gaan werken aan bewustzijn en later aan bekwaamheid. Maar waar brengt ons dat wanneer het gaat om de zorgvuldige inrichting van een openbaar bestuur dat bestemd is om bescherming te bieden aan haar burgers? In het volgende artikel gaan wij dieper in op de rol van de Rijksoverheid bij het hoeden van dit grondrecht van haar burgers.

In een artikelreeks behandelen Saskia Laaper en Henri Rauch dit gevoelige thema in het Nederlands openbaar bestuur; in dit eerste artikel ligt de nadruk op de gemeente als hoeder van onze privacy.
Saskia Laaper is oud-TweedeKamerlid en adviseur bij de Nederlandse overheid
Henri Rauch is adviseur bij de Nederlandse en de Europese overheid

  • Peter Westerhof | 13 maart 2015, 11:50

    Dat het met privacybeleid en -uitvoering bij gemeenten en andere (semipublieke) overheden droevig gesteld is zou genoegzaam bekend moeten zijn.
    Dat het hier vooral schort aan de accountability van verantwoordelijken en betrokkenen is eveneens bekend. Komende Europese regelgeving gaat hier mogelijk verandering brengen.

    Maar de laatste alinea van dit artikel maakt het er óók niet beter op.
    Refereren aan een voorlichting in 2010 aan gemeentesecretarissen 9 jaar na het in werking treden van de Wet Bescherming Persoonsgegevens in 2001 – Wet van 6 juli 2000 (Stb.2000;302) – gaat volstrekt voorbij aan de reeds bestaande verplichtingen uit de Wet Persoons Registratie die 1 juli 1989 van kracht. werd. Dat is dus 20 jaar vóór de voorlichtingsbijeenkomst!

    De verantwoordelijken – waaronder genoemde gemeentesecretarissen – en betrokkenen’ wisten of hadden moeten weten’ van deze verplichtingen. Na 20 jaar van geldende regelgeving nadert men daarmee zeer dicht aan ‘voorwaardelijke opzet’.

    “onwetendheid en onbekendheid”? “eerst gaan werken aan bewustzijn en later aan bekwaamheid”?
    Is onbekwaamheid een acceptabele competentie voor een openbaar bestuurder?
    Zo ja, wees je daar dan van bewust en stel een privacyfunctionaris aan. Dat gaat weliswaar ten koste van leukere dingen, maar is gezien huidige en komende sancties wél goedkoper.

  • Kees Hintzbergen | 19 maart 2015, 14:00

    Goed stuk Henri en Saskia!

    Volgens mij kun je ook eerst bekwaam zijn en pas later bewust.
    Zolang er niet afgerekend wordt, gaat het niet veranderen. Gelukkig is er binnenkort wellicht een aanvulling op de WBP in de vorm van de Meldplicht Datalekken.

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren