Privacybewustzijn ontbreekt vaak bij gemeenten, ziet AP
Met iedere slimme toepassing hebben gemeenten meer mogelijkheden om data te verzamelen en te gebruiken. Dat baart de Autoriteit Persoonsgegevens zorgen. Niet omdat de intentie slecht is, maar wel omdat de bewustwording over privacy bij gemeenten nogal eens te wensen overlaat.
Function creep
‘Innovatie maakt mooie dingen mogelijk en daar zijn we vóór, maar je moet wel goed opletten,’ zegt Monique Verdier, vicevoorzitter van de Autoriteit Persoonsgegevens (AP). ‘Soms heb je een duidelijk doel voor ogen met het verzamelen van gegevens, zonder te beseffen dat daarmee een risico ontstaat.’
Neem het verzamelen van data uit parkeersensoren, die meten of een parkeerplaats bezet is. Dat leidt tot nuttige dienstverlening voor automobilisten, maar in sommige gevallen ook tot function creep, het gebruiken van data voor andere doeleinden dan waarvoor ze zijn verzameld. Sommige aanbieders van dergelijke systemen verdienen grof geld aan data over reisbewegingen. Soms ook zijn het gemeenten die aan het analyseren slaan: uit de data valt veel af te leiden, bijvoorbeeld of iemand wel werkelijk woont waar hij staat ingeschreven.
Vooraf goed nadenken
Gemeenten moeten heel efficiënt werken en roepen daarvoor graag de hulp van datatoepassingen in. Wat kunnen ze doen om zeker weten dat ze zorgvuldig genoeg te werk gaan? ‘Denk vooraf na: waarom wil ik dit? Wat levert het op? Waar zijn risico’s? Heb ik dit wel nodig om het probleem op te lossen? Heb je het bijvoorbeeld echt nodig om te weten wíe daar parkeert? Die informatie kun je ontsluiten zo gauw je dit soort systemen gebruikt. En als je die data gaat combineren met andere gegevens die je hebt, dan kun je mensen volledig profileren. Ik zou werkelijk niet weten waarom je dat zou willen als overheid.’
Onzichtbare problemen
Verdier wijst erop dat gemeenten snel ingrijpen als er zich een fysiek probleem voordoet, zoals een probleem met de riolering, maar dat een ‘onzichtbaar’ probleem in de digitale wereld, zoals dataverzameling, vaak niet eens als een probleem wordt gezien. ‘Terwijl de consequenties in de digitale wereld vaak vele malen groter zijn dan in de echte wereld. Daar moet je dus extra voorzichtig mee omgaan.’
Mensenrechten als uitgangspunt
Ze komt weinig kwaadwillendheid tegen bij gemeenten, maar wel een tekort aan bewustwording, waardoor het onderwerp privacy niet eens of veel te laat aan bod komt. ‘En dan snap ik dat iedereen zegt: tjongejonge, het mag weer niet van de AVG (de algemene verordening gegevensbescherming – red). Maar als jij mensenrechten vooraf als uitgangspunt neemt, kun je in je technologische oplossingen een plek geven. Je bent als gemeente wel verantwoordelijk.’
Vooraf een gedegen risicoanalyse (DPIA) doen is daarom nuttig en vaak wettelijk verplicht, net als het vroegtijdig betrekken van de functionaris gegevensbescherming (FG) bij (nieuwe) privacyvraagstukken. Die FG moet bovendien voldoende tijd en middelen krijgen om het werk goed en onafhankelijk te kunnen doen. Dit is niet altijd het geval, bleek recent uit onderzoek van de Europese toezichthouder.
Handelingsverlegenheid
Innovators binnen gemeenten zeggen nogal eens dat bestuurders uit onwetendheid juist te veel leunen op de FG. Verdier: ‘In de basis ben ik blij met handelingsverlegenheid, want dat betekent dat mensen beseffen dat er risico’s zijn. Maar het is natuurlijk jammer als we uit angst geen gebruik maken van oplossingen die het leven beter maken. Doe het wel, maar doe het veilig. Neem de privacyvereisten op in je uitgangspunten. Kijk in elke fase opnieuw naar de risico’s. Check elke keer of je nog voldoet aan de uitgangspunten. En denk vooruit: welke risico’s heeft wat ik nu doe voor de lange termijn?’
Rekening houden met wat wat nog niet is
Niemand vindt het raar dat we dijken bouwen die hoger zijn dan waar we denken dat het water maximaal komt, stelt ze. ‘Het waterspiegel zal stijgen. We houden dus rekening met iets wat er nu nog niet is. Op dezelfde manier moet je nadenken over het gebruik van persoonsgegevens. Je wil geen efficiëntieprobleem van de gemeente oplossen door een risico voor burgers te creëren. Het is jouw taak om te zorgen voor die burger.’
Handreiking voor raadsleden
Hoe weet je als raadslid of de rechten van burgers worden geschonden? ‘Wij snappen dat niet iedereen de AVG van buiten kent. Dat hoeft ook niet, maar je moet wel weten waar het over gaat. Raadpleeg onze handreiking voor privacyvragen voor raadsleden. We raden onder andere aan dat je de FG uitnodigt in de raadsvergadering en dat je laat rapporteren hoe de gemeente omgaat met privacy.’
Afvaldata
Als toezichthouder kun je het zelden goed doen. Dat blijkt onder meer uit reacties op het bericht dat de gemeente Voorschoten een boete kreeg omdat het afvaldata van bewoners te lang bewaarde. Verdier ziet een grote rechtvaardiging om juist wel schaarse mankracht in te zetten op een relatief onschuldig vergrijp. ‘Als je je niet eens aan de kleine, relatief makkelijke doelen van de AVG kunt conformeren, wat betekent dat dan voor de dingen waar het echt om gaat? Het blijft soms wat onzichtbaar dat ongeveer de helft van onze capaciteit gaat zitten in voorlichting en hulp. De andere helft zit in het straffen. Dat kan zijn in de vorm van een boete, een berisping, of een boze brief. We doen het allemaal om de burger te beschermen. Daar stoppen wij onze energie in, en dat doen we in een mix van kleine dingen die relatief makkelijk zijn op te lossen en heel groot dingen.’
Toezichthouder in ontwikkeling
De AVG bestaat nog maar vijf jaar. Ook de Autoriteit Persoonsgegevens in de huidige vorm is nog jong. Pas in 2016 kreeg het onder meer de bevoegdheid om boetes op te leggen bij overtredingen van de Wet bescherming persoonsgegevens (Wbp), de voorloper van de AVG. ‘Ook wij mogen nog aan professionaliteit winnen,’ zegt Verdier. ‘En dat zijn we ook rap aan het doen. We zijn een jonge toezichthouder in ontwikkeling. Misschien is dat maar goed ook. Als wij super volwassen waren geweest en alle organisaties nog niet, dan was het gat wel heel groot geweest.’
Onderzoek naar overheid
In de afgelopen jaren is de toezichthouder gegroeid tot 250 fte. In het jaarplan van 2024 staat dat de AP extra capaciteiten reserveert om onderzoek te doen naar overheden en uitkeringsorganisaties, met name als het gaat om persoonsgegevens. ‘Als ik ze zou hebben, zou ik twee keer zo veel mensen op de overheid zetten, zo veel gaat er mis,’ zegt Verdier.
Iedereen op cursus
Idealiter zou ze graag zien dat iedere overheidsorganisatie die een tik op de vingers krijg van de privacywaakhond alle medewerkers naar een cursus stuurt over hoe je zorgt dat je niet onbewust discrimineert. ‘Het moet in onze cultuur gaan zitten om je daarvan bewust te zijn. Er zijn allerlei hulpmiddelen om je te wapenen tegen onbewuste discriminatie. Daardoor wordt de kans dat er een privacyprobleem optreedt veel kleiner. Hoe mooi zou het zijn als het werkveld het zó goed doet, dat wij kunnen krimpen in plaats van groeien? De AVG is nodig, want het is de stok om mee te slaan. Maar het gáát om het beschermen van mensenrechten en de vrijheid voor ons allemaal.’
Lees ook: