Overheidsorganisaties beschikken over grote hoeveelheden, vaak gevoelige, persoonsgegevens. Mensen zijn bovendien meestal verplicht om hun gegevens aan de overheid af te staan. Daarom moet iedereen erop kunnen vertrouwen dat overheidsorganisaties uiterst zorgvuldig met hun gegevens omgaat. Als de Autoriteit Persoonsgegevens (AP) betwijfelt of gemeenten de gegevens van inwoners wel voldoende beschermen, kan het het toezicht op gemeenten verzwaren. Dat gebeurde begin mei 2021 nog.
Een (niet nadergenoemde) gemeente moet nu elke 3 maanden een uitgebreide rapportage aan de AP verstrekken. Aanleiding voor de verscherping zijn signalen over overtredingen van de privacywet. Verder constateert de lokale Rekenkamer dat er na dik 2 jaar AVG nog geen privacy-beleid was vastgesteld. In hetzelfde rapport stond verder dat zowel de onafhankelijkheid als de informatiepositie van de interne toezichthouder, de functionaris gegevensbescherming (FG), onvoldoende waren geborgd.
Burgemeester op het matje geroepen
De AP heeft gesprekken gevoerd met zowel de gemeenteraad als het gemeentebestuur. De burgemeester is aangesproken op de gang van zaken en het belang van juiste inrichting van intern toezicht is onderstreept. Dit heeft de zorgen over de positie van de FG niet weggenomen. De wet verbindt duidelijke eisen aan de positionering van een FG. Zo is het essentieel dat de FG onafhankelijk kan toezien op de naleving van de AVG in de betreffende organisatie. Het is aan de gemeente om aan de slag te gaan met de risico’s die de FG signaleert.
De AP heeft besloten een jaar lang de vinger aan de pols te houden en het AVG-beleid van deze gemeente nauwgezet te volgen. De gemeente moet een jaar lang elk kwartaal een voortgangsrapportage opsturen over de maatregelen die de gemeente neemt om aan de AVG te voldoen. De Autoriteit sluit een nader onderzoek niet uit. Dat kost echter veel tijd. Inmiddels heeft de gemeente de eerste rapportage aangeleverd.
Oude en nieuwe verplichtingen
Overheidsorganisaties moeten altijd beschikken over de juiste wettelijke basis om gegevens te verwerken en uit te wisselen en mogen nooit meer persoonsgegevens verwerken dan noodzakelijk is. Daarnaast moet het de gegevens goed beveiligen. Overigens was dit voor de komst van de Algemene verordening gegevensbescherming (AVG) ook al zo. Maar de AVG heeft ook nieuwe verplichtingen met zich meegebracht.
- Functionaris gegevensbescherming (FG)
Alle overheidsorganisaties moeten een Functionaris gegevensbescherming (FG) aanstellen. Dit is een onafhankelijke, interne privacyfunctionaris. De FG ziet toe op de naleving van het privacybeleid en adviseert over privacyrisico’s. Voorkomen is hierbij beter dan genezen. Daarom moet de FG in een vroeg stadium betrokken worden en toegang hebben tot alle relevante informatie. Op die manier wordt de organisatie in staat gesteld maatregelen te nemen en de persoonsgegevens van burgers en klanten te beschermen. Meer informatie over de FG - Data protection impact assessment (DPIA)
Overheidsinstellingen die gegevens verwerken die een hoog privacyrisico opleveren, moeten eerst een data protection impact assessment (DPIA) doen. - Verantwoordingsplicht
De verantwoordingsplicht houdt in dat overheidsorganisaties moeten kunnen aantonen dat hun verwerkingen aan de AVG voldoen. Zo zijn zij volgens de AVG verplicht om een verwerkingsregister op te stellen. Verder kan het zijn dat zij privacybeleid op moeten stellen. Dit hangt af van welke soort gegevens organisaties verwerken en op welke schaal. Tot slot moeten zij een datalekregister bijhouden. Hierin worden alle datalekken geregistreerd die zich binnen de organisatie hebben voorgedaan, inclusief de datalekken die niet gemeld hoeven te worden.
Overheidsorganisaties zijn op grond van de Archiefwet verplicht om bepaalde informatie blijvend te bewaren. In deze informatie staan vaak persoonsgegevens waarop de AVG van kracht is. Zie: Archivering door de overheid.
Smart Cities en de AVG
Daarnaast zoeken gemeenten steeds vaker naar datagedreven oplossingen voor mobiliteit, energie, veiligheid en huisvesting. Een voorbeeld hiervan is drukte meten door middel van wifitracking. Zulke oplossingen hebben echter grote invloed op de privacy van bewoners. Het is daarom uiterst belangrijk dat gemeenten de privacy van bewoners voldoende waarborgen bij de ontwikkeling van smart cities en ervoor zorgen dat de toepassingen binnen de grenzen van de AVG blijven. Daarnaast moeten gemeenten – net als alle andere overheidsinstellingen – zich houden aan de Baseline Informatiebeveiliging Overheid (BIO). [linken naar blog over BIO]
Onlangs deelde de AP nog een boete van 600.000 euro uit aan de gemeente Enschede. De gemeente gebruikte wifitracking in de binnenstad op een manier die niet mag, waardoor het mogelijk was winkelend publiek en mensen die in de binnenstad wonen of werken niet alleen te tellen, maar ook te volgen. De gemeente en twee betrokken bedrijven hadden toegang tot de data. “Als je mensen via hun telefoon kunt volgen, is dat heel kwalijk”, zegt AP-vicevoorzitter Monique Verdier. “Want iedereen heeft het recht om vrij en onbespied over straat te gaan. Zonder dat de overheid of een andere partij kan meekijken of noteren wat je doet. Dat past bij onze vrije en open samenleving.”
Lopende projecten tegen het licht houden
Gemeenten mogen in sommige situaties via wifitracking persoonsgegevens verwerken, bijvoorbeeld als dit noodzakelijk is voor hun wettelijke taak. Maar constateert de AP dat een overheidsorganisatie onrechtmatig wifitracking inzet, dan is er kans op een flinke boete. Zoals nu dus voor de gemeente Enschede. De overtreding begon in mei 2018. De interventie van de AP was aanleiding voor de gemeente om op 1 mei 2020 te stoppen met wifitracking. De gemeente Enschede heeft bezwaar aangetekend tegen de boete.
De AP raadt gemeenten aan voorgenomen of lopende projecten met wifitracking nog eens goed tegen het licht te houden. Het heeft een aantal tips opgesteld voor gemeenten bij smart cities en op de website van AP staan ook veelgestelde vragen over wifitracking.