AP: Overheid zoekt te veel de grenzen van de AVG op
Bescherming van persoonsgegevens is een grondrecht. Toch ziet de Autoriteit Persoonsgegevens (AP) dat overheden dit grondrecht te gemakkelijk terzijde schuiven om hun wens om de dienstverlening te verbeteren of criminaliteit aan te pakken. Kennis van de privacywet- en regelgeving laat soms te wensen, in het bijzonder bij bestuurders.
Overheidsorganisaties verzamelen meer persoonsgegevens dan ooit en willen die gegevens ook meer dan ooit aan elkaar koppelen. Daarbij hebben ze nog onvoldoende aandacht voor de privacybelangen van burgers. Het risico dat burgers in de knel komen is groot als de overheid verkeerd omgaat met hun persoonsgegevens, waarschuwt de AP in het Sectorbeeld Overheid waarin de trends en ontwikkelingen op privacygebied in kaart gebracht zijn.
Over de grenzen van de wet
Overheidsorganisaties gaan soms bewust over de grenzen van de wet, signaleert de privacywaakhond, hoewel dit vaak met de beste bedoelingen gebeurt. Bijvoorbeeld om burgers met zorgvragen te helpen, schuldenproblematiek tegen te gaan of criminaliteit een halt toe te roepen. ‘Dat zijn goede intenties,’ schrijft de AP, ‘maar daarbij past ook dat je burgers en hun gegevens goed beschermt.
Veel lijkt voort te komen uit een gebrek aan kennis bij diegenen die verantwoordelijk zijn voor de besluitvorming rond het verwerken van persoonsgegevens. Bij overheidsorganisaties zijn dat de bestuurders. Juist zij moeten voldoende kennis van zaken hebben om hierover goede besluiten te kunnen nemen.
Ook zouden bestuurders zich moeten verdiepen in technieken om beter aan de AVG te kunnen voldoen. De AP noemt als voorbeeld Privacy Enhancing Technologies (PET’s).
Ook het omgekeerde komt overigens regelmatig voor, dat bestuurders bepaalde besluiten niet durven te nemen, omdat zij de privacywet- en regelgeving – onterecht – als belemmering zien. Ook hier geldt dat kennis van privacywetgeving een ‘must’ is.
Geen afweging van belangen
Departementen en gemeenten zien de AVG niet altijd als een vaststaand feit, constateert de AP, maar slechts als een onderdeel van de afwegingen die ze maken bij beleidsontwikkeling. Als andere belangen zwaarder wegen wordt de privacywetgeving vooral beschouwd als een ‘sta in de weg’. Bij uitvoeringsorganisaties komt dit overigens minder voor: ‘Over het algemeen is gegevensbescherming bij uitvoeringsorganisaties beter geregeld dan bij andere overheidsorganisaties. Hierop is wel een grote uitzondering: de Belastingdienst’, schrijft de AP. Dit voorjaar werd besloten het toezicht op de Belastingdienst voor een periode van vijf jaar te intensiveren.
Wetgeving achteraf
Het komt regelmatig voor dat ministeries starten met gegevensverwerking en pas achteraf hiervoor een wettelijke basis creëren. Deze omgekeerde volgorde ondermijnt volgens de AP het vertrouwen dat mensen moeten kunnen hebben dat de overheid hun gegevens zorgvuldig verwerkt. ‘Is er voor een nieuwe verwerking geen grondslag? Dan kan de verwerking ofwel niet plaatsvinden, ofwel moet worden gewacht met de verwerking tot er wel een grondslag is.’ En dus niet andersom.
Onzorgvuldige DPIA’s
Overheden zijn verplicht in het voortraject van een nieuwe gegevensverwerking een risicoanalyse uitvoeren, een ‘data protection impact assessment’ (DPIA), op basis waarvan maatregelen genomen kunnen worden om die risico’s te verkleinen. Dat lijkt niet standaard te gebeuren. Opmerkelijk is dat de AP hierbij schrijft dat de organisatie dan ‘ook kan beslissen dat de risico’s niet opwegen tegen de eventuele voordelen van de nieuwe verwerking’, waarmee het blijkbaar toch een afweging van belangen lijkt…
De AP adviseert overheden de Functionaris Gegevensbescherming (FG) serieus te nemen in de organisatie. Er zijn signalen dat zij niet altijd op tijd betrokken worden bij voornemens om op nieuwe manieren persoonsgegevens te verwerken. Ook worden adviezen niet altijd opgevolgd. In het rapport pleit de AP voor een versterking van de positie van de FG.
Overige risico’s
- Verouderde IT-systemen kunnen ervoor zorgen dat ingezetten gegevensverwerkingen of datalekken onnodig lang blijven voortduren
- De afhankelijkheid van één IT-dienstverlener waarbij alle gegevens in de cloud staan. Als die omvalt komt de dienstverlening aan burgers in de problemen.
- De openbaarheid van persoonsgegevens in de registers van het Kadaster en het Handelsregister.
Worstelingen in sociaal domein
Vooral in het sociaal domein ziet de AP overheidsorganisaties worstelen met de AVG. Gemeenten zien zich voor de keuze gesteld om óf aan de AVG te voldoen, óf de hulpbehoevende burger te helpen. Deze twee zaken zouden elkaar mogen uitsluiten, stelt de AP. De wetgever moet ervoor zorgen dat wetten en regels hierop afgestemd worden.
Ook zetten diverse gemeenten algoritmes in om burgers met een bijstandsuitkering te profileren op frauderisico. Dit is nier geoorloofd, schrijft de AP. Profilering kan leiden tot discriminatie. De AP verwijst hierbij naar het oordeel van het College voor de Rechten van de Mens dat bij profilering op basis van woonwijk of woonvorm, indirect sprake kan zijn van discriminatie op basis van ‘ras’.
Waarschuwing aan veiligheidsdomein
Zorgen zijn eer over de privacycultuur binnen gemeenten in het veiligheidsdomein waar de AVG regelmatig als hinderpaal wordt gezien. ‘De AP signaleert dat sommige gemeenten welbewust de regels van de AVG negeren bij de bestrijding van criminaliteit en het handhaven van de openbare orde. Dit heeft mogelijk (grove) schendingen van de privacy van hun inwoners tot gevolg.’ Een waarschuwing volgt: ‘De AP zal hard ingrijpen bij gemeenten die bij de bestrijding van criminaliteit in het fysieke domein de privacybelangen van burgers in het digitale domein onrechtmatig schenden. Gemeenten hebben niet alleen als taak de openbare orde in de fysieke ruimte te handhaven, maar dienen ook de belangen van burgers in de digitale ruimte te respecteren.
Lees ook:
We moeten ons altijd realiseren dat het beschermen van één individu er toe kan leiden dat meerdere andere individuen slachtoffer worden. Een voorbeeld; Een zorgfraudeur wordt betrapt in gemeente A en heeft veel slachtoffers gemaakt, vooral ouderen. Na de ontmaskering zet hij/zij de werkzaamheden simpel voort in de naastgelegen gemeente B. Ondanks dat advocaten, slachtoffers en zelfs medewerkers van gemeente A weten (en melden) wat er gebeurt wordt gemeente B, met als argument “privacy”, niet gewaarschuwd en vallen er binnen korte tijd weer tientallen slachtoffers.
Waar ligt de grens ?
@Marcel den Hartog: de situatie die je schetst is frustrerend en gekmakend. Toch is er ook een ander perspectief mogelijk. Het argument ‘privacy’, wat vaak snel in de wandeling gehanteerd wordt, is eigenlijk ‘we hebben geen rechtsgrond om de gegevens te delen’. En waarom is die rechtsgrond er niet? Omdat we het niet OK vinden als de overheid alle gegevens van burgers vrijelijk intern deelt. Waarom vinden we dat niet OK? Omdat de overheid dan veel te makkelijk massa surveillance kan doen.
Dus wat mij betreft is de overweging waar je je bijdrage mee begint (“beschermen van één individu leidt tot meerder slachtoffers”) net andersom: het opsporen van één fraudeur kan er toe leiden dat vele anderen slachtoffer worden (van massa surveillance).
Je vraag “waar ligt de grens?” is wat mij betreft inderdaad de kern: welke afweging willen we maken? Kunnen we het zo regelen dat we wél de fraudeurs kunnen opsporen zónder grootschalig niet-fraudeurs op het netvlies te krijgen? Hoeveel fraudeurs kun je vinden ’ten koste van’ hoeveel onschuldige omstanders? (Ik denk nu ook aan de ophef over de Bulgarenfraude versus de ophef over de Toeslagenaffaire.)
(NB De inzet van Privacy Enhancing Technologies kan bij die afweging dienstig zijn, maar zijn zeker niet het hele antwoord; uiteindelijk is het aan de politiek om die afweging te maken.)
Het privacy vraagstuk wordt hier weer veel te simplistisch beschreven. Het simpelweg verzamelen en aan elkaar koppelen van gegevens negeert de noodzaak van een robuuste data governance structuur die vrijwel alle overheden domweg nog niet hebben. Bij het privacy vraagstuk zijn allerlei lagen van regelgeving, beveiligingsprotocollen en ethische overwegingen betrokken die zo onvoldoende worden erkend. Ja, de AVG (Algemene Verordening Gegevensbescherming) stelt strenge eisen aan hoe persoonsgegevens moeten worden beheerd en beschermd, maar dat moet je je niet laten verlammen ‘omdat de jurist dat zegt’. Je kunt er uitstekend aan voldoen, met een diepgaander begrip en het correct toepassen van zowel organisatorische als technologische maatregelen. Zo biedt de http://www.fiware.org/catalogue allerlei allang bewezen mogelijkheden om gegevensbeheer geavanceerd en Open Source uit te voeren. Implementatie van FIWARE Context Brokers bijvoorbeeld, kan zorgen voor een gestandaardiseerde en veilige manier om contextgegevens te beheren en delen, waarbij toegang en privacy juist voortdurend worden bewaakt. Ja hierbij horen ‘moeilijke woorden’ als Policy Enforcement Points (PEP) en Policy Decision Points (PDP), maar deze systemen maken gedetailleerd toegangsbeheer mogelijk, waardoor er op een verfijnde manier bepaald kan worden wie welke gegevens mag gebruiken en onder welke omgevingsvoorwaarden, wat natuurlijk cruciaal is voor privacybeheer. Ook het implementeren van encryptietechnologie kan ervoor zorgen dat gegevens in transit en in rust veilig blijven. Hierdoor worden persoonsgegevens domweg onleesbaar voor onbevoegden, zelfs als ze onderling worden gedeeld tussen instanties. Er bestaan allang uitstekende technieken voor, zoals Zero Knowledge Proof bevragingen, met uitstekende 100% Nederlandse bedrijven die dat prima kunnen leveren. Door persoonsgegevens te anonimiseren of te pseudonimiseren vóór de verwerking of deling, kan het risico op identificeerbare gegevenslekken eveneens significant verminderd worden.
Het zou natuurlijk helemaal mooi zijn als integraal gekozen zou worden voor de omarming van de ISO 8000:2019 standaard voor Data Kwaliteit. Zorgen voor datakwaliteit draagt bij aan accurate en betrouwbare gegevensuitwisseling, waardoor fouten of onbedoelde blootstelling van persoonsgegevens worden geminimaliseerd. Door daarbij continue auditing en monitoring te implementeren als onderdeel van het beheer van persoonsgegevens, kan er snel ingegrepen worden bij eventuele misstanden of inbreuken op de privacy. Privacy beheer gaat om kennis, kunde en creativiteit. Niet om emotie en nauwelijks begrepen concepten. Door allang volwassen en bewezen technologieën en protocollen in te zetten, kunnen overheden niet alleen de privacy van burgers waarborgen, maar ook vertrouwen en transparantie bij gegevensbeheer bevorderen, essentiële pijlers voor een rechtvaardige en functionele digitale overheid en niet toevallig een speerpunt van de http://www.internationaldataspaces.org
@Freek Bomhof: dank voor je reactie. Niemand wil dat de overheid “vrijelijk” alle gegevens van burgers intern deelt. Maar tussen het delen van gegevens van een bewezen fraudeur en het delen van “alle” gegevens van “iedereen” ligt een groot grijs gebied.
Ambtenaren door heel Nederland nemen dagelijks zeer ingrijpende beslissingen over de levens van inwoners van hun stad/dorp. Maar we voorkomen op allerlei manieren dat zij een collega ambtenaar in een andere woonplaats helpen om de burgers die daar wonen te beschermen.
Natuurlijk moet er een controle mechanisme zijn, maar door telkens maar de voorbeelden te gebruiken waar het fout is gegaan, maken we steeds meer regels en zullen mensen steeds minder hun verantwoordelijkheid nemen. Het kan en mag niet zo zijn dat ouderen en minder bedeelden het slachtoffer worden waarna iedereen gaat wijzen en roepen dat “de politiek” dan maar betere regels moet maken.