De AVG resulteert in redelijk wat huiswerk voor gemeenten met smart city-ambities, zoals het uitvoeren van een DPIA.
Vorige week kondigde de Autoriteit Persoonsgegevens (AP) aan dat zij een onderzoek start naar smart city-toepassingen van gemeenten. Hiervoor vraagt de AP naar de gemeentelijke gegevensbeschermingseffectbeoordeling, ook wel data protection impact assessment genoemd (DPIA). In de DPIA beoordeelt de gemeente de privacyrisico’s van een voorgenomen smart city-toepassing.
In eerste instantie controleert de AP de DPIA’s van een selecte groep gemeenten, maar deze groep wordt later uitgebreid. De gemeenten die nog geen verzoek van de AP hebben ontvangen, doen er dus goed aan om hun DPIA-huiswerk te maken of na te lopen. In dit artikel zet ik voor gemeenten de belangrijkste aandachtspunten uiteen voor het geval de AP overgaat tot de controle van de DPIA’s.
Waarom een DPIA?
De DPIA is een verplichting uit de Europese privacywet, de AVG (Algemene verordening gegevensbescherming / General Data Protection Regulation). Volgens de AVG moet de gemeente een DPIA uitvoeren vóórdat zij persoonsgegevens gebruikt voor een activiteit die waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van burgers. Het doel van de DPIA is onder meer het beoordelen van de mogelijke privacy-impact van het beoogde gegevensgebruik, zodat nagegaan kan worden of (en hoe) de gemeente een smart city-toepassing in lijn met de AVG kan uitvoeren.
Wanneer is een DPIA nodig?
De AP verwacht dat de gemeente in ieder geval DPIA’s heeft uitgevoerd als er bijvoorbeeld (flexibel) cameratoezicht wordt ingezet, locatiegegevens worden geregistreerd, grootschalige monitoring wordt toegepast met internet of things-apparaten of als er met persoonsgegevens het gedrag van burgers wordt geobserveerd of beïnvloed (‘nudging’). Dit geldt ook voor de gegevensuitwisseling in samenwerkingsverbanden, zoals wijkteams of veiligheidshuizen. Een doorsnee smart city-project heeft meestal één of meer van de hiervoor genoemde kenmerken. Als uw gemeente een smart city claimt te zijn, dan dient er dus een DPIA te zijn uitgevoerd.
Wat moet er in een DPIA staan?
De AVG benoemt de verplichte inhoud van een DPIA. Deze bevat in ieder geval: een systematische beschrijving van het beoogde gegevensgebruik en de daarmee nagestreefde doelen en belangen; een beoordeling van de noodzaak en de evenredigheid van de gegevensverwerkingen; een beoordeling van de risico’s van de smart city-toepassing voor de rechten en vrijheden van de burgers; alsook de beoogde maatregelen om de (privacy)risico’s aan te pakken. Het staat gemeenten vrij te kiezen hoe de DPIA wordt uitgevoerd. Sinds deze zomer kunnen gemeenten bijvoorbeeld aan de slag met een online DPIA-tool, met dank aan de Informatiebeveiligingsdienst voor gemeenten (IBD).
Verder moet de gemeente bij de uitvoering van de DPIA het advies inwinnen van de FG (Functionaris voor de Gegevensbescherming), ook wel Data Protection Officer genoemd. De FG kan de gemeente bijvoorbeeld adviseren over de te gebruiken DPIA-methodiek, welke risicobeperkende maatregelen er getroffen kunnen worden ter bescherming van de burgers en of de DPIA in lijn met de AVG is uitgevoerd. Als de gemeente het niet eens is met het advies van de FG, dan dient de DPIA-documentatie een uitleg te bevatten waarom dit advies niet is opgevolgd.
Andere aandachtspunten
De AVG bepaalt daarnaast dat – in voorkomend geval – de gemeente de (vertegenwoordigers van de) burgers naar hun mening dient te vragen over de voorgenomen smart city-toepassing. Dit kan bijvoorbeeld via een burgerpanel, maar bij grote smart city-projecten ligt feedback van de gemeenteraad mijns inziens meer voor de hand. Bijvoorbeeld als het gaat om grootschalige wifi-tracking. Het is denkbaar dat de AP vraagt hoe burgers hun mening kunnen hebben geven over de smart city-toepassing.
Daarnaast bevelen de Europese privacytoezichthouders aan dat overheden, zoals gemeenten, de inhoud van de DPIA publiceren. Dit is niet wettelijk verplicht, maar een best practice. Tegelijkertijd moeten gemeenten, op basis van de AVG, al de nodige transparantie hanteren als het gaat om het gebruik van gegevens over burgers. Ongeacht of de gemeenten de best practice opvolgen, doen zij er dus goed aan om in ieder geval heldere informatie te publiceren over het gegevensgebruik van de smart city-toepassing. Bijvoorbeeld op de eigen website. Als een gemeente op geen enkele wijze heeft gecommuniceerd over de smart city-toepassing en hiervoor geen rechtvaardiging heeft, dan zal de AP hier op zijn minst vraagtekens bij plaatsen.
Van belang is ook dat de gemeente de smart city-activiteit evalueert. Naarmate het smart city-project vordert, kunnen er immers nieuwe risico’s voor de burgers ontstaan. Bijvoorbeeld als blijkt dat het project ongeoorloofd burgers uitsluit. De AVG verlangt dan ook dat de gemeente de DPIA periodiek evalueert en indien nodig het gegevensgebruik aanpast of stopzet. Dergelijke overwegingen dienen door de gemeente te worden vastgelegd. De AP kan hiernaar vragen.
Voorafgaande raadpleging
Het is mogelijk dat een DPIA bepaalde hoge (privacy)risico’s blootlegt. Bijvoorbeeld als gevoelige gegevens niet goed beschermd kunnen worden, zoals gegevens over kinderen. Als een gemeente zulke risico’s niet afdoende kan afdekken en het smart city-project wenst door te zetten, dan moet het project worden voorgelegd aan de AP. In deze ‘voorafgaande raadpleging’ geeft de AP advies en wordt duidelijk of het project alsnog mag doorgaan (of niet). De AP benadrukt deze verplichting in haar aankondiging. Het is daarom mijn verwachting dat de AP zal controleren of de voorafgaande raadpleging gedaan had moeten worden.
Huiswerk
Het is duidelijk dat de AVG resulteert in behoorlijk wat huiswerk voor gemeenten met smart city-ambities. Uit mijn onderzoek over Nederlandse smart cities van vorig jaar bleek dat slechts 1 op de 10 van de onderzochte gemeenten de ambities concretiseerden met een heldere beschrijving en doelstelling. Nauwelijks werd er verwezen naar een DPIA. Hopelijk hebben de gemeenten het afgelopen jaar benut en hun huiswerk gedaan door onder andere een goede uitvoering van DPIA’s. Wie weet geeft de toezichthouder dan, net als op school vroeger, een heuse pluim!
Joost Gerritsen is advocaat bij Legal Beetle. Hij assisteert organisaties van de overheid en het bedrijfsleven die in een smart city op een verantwoorde manier willen omgaan met nieuwe technieken, zoals AI, robots en big data. Deze bijdrage is geschreven op persoonlijke titel.
Ik wordt wel blij van dit artikel.
Het is een goed vertrekpunt – én ondergrens – voor de vele overambitieuze gemeenten.
De praktijk leert echter dat van “feedback van de gemeenteraad” weinig verwacht moet worden. Het doorsnee raadslid ontbeert zowel tijd als kennis om de plannen enigzins inhoudelijk te kunnen beoordelen.
Hiermee komt het zwaartepunt al snel te liggen bij de gouden bergen van de verantwoordelijk wethouder tegenover het tegenwicht van de FG.
Van de handhaving door de AP moet niet teveel verwacht worden.
Het belang van een goed programmaplan met daarin een uitgebreide privacyparagraaf kan dan ook niet overschat worden.