Autoriteit Persoonsgegevens mist besef bij gemeenten
Vicevoorzitter Monique Verdier: 'Als ik ze zou hebben, zou ik twee keer zo veel mensen op de overheid zetten, zo veel gaat er mis.'
Met iedere slimme toepassing hebben gemeenten meer mogelijkheden om data te verzamelen en te gebruiken. Dat baart de Autoriteit Persoonsgegevens zorgen. Niet omdat de intentie slecht is, maar wel omdat de bewustwording over privacy bij gemeenten nogal eens te wensen overlaat.
Inzicht uit parkeersensoren
‘Innovatie maakt mooie dingen mogelijk en daar zijn we vóór, maar je moet wel goed opletten,’ zegt Monique Verdier, vicevoorzitter van de Autoriteit Persoonsgegevens (AP). ‘Soms heb je een duidelijk doel voor ogen met het verzamelen van gegevens, zonder te beseffen dat daarmee een risico ontstaat.’
Neem het verzamelen van data uit parkeersensoren, die meten of een parkeerplaats bezet is. Dat leidt tot nuttige dienstverlening voor automobilisten, maar in sommige gevallen ook tot function creep, het gebruiken van data voor andere doeleinden dan waarvoor ze zijn verzameld. Sommige aanbieders van dergelijke systemen verdienen grof geld aan data over reisbewegingen. Soms ook zijn het gemeenten die aan het analyseren slaan: uit de data valt veel af te leiden, bijvoorbeeld of iemand wel werkelijk woont waar hij staat ingeschreven.
BB Gemeenten moeten heel efficiënt werken en roepen daarvoor graag de hulp van datatoepassingen in. Wat kunnen ze doen om zeker weten dat ze zorgvuldig genoeg te werk gaan?
‘Denk vooraf na: waarom wil ik dit? Wat levert het op? Waar zijn risico's? Heb ik dit wel nodig om het probleem op te lossen? Heb je het bijvoorbeeld echt nodig om te weten wíe daar parkeert? Die informatie kun je ontsluiten zo gauw je dit soort systemen gebruikt. En als je die data gaat combineren met andere gegevens die je hebt, dan kun je mensen volledig profileren. Ik zou werkelijk niet weten waarom je dat zou willen als overheid.’
Onzichtbare digitale wereld
Verdier wijst erop dat gemeenten snel ingrijpen als er zich een fysiek probleem voordoet, zoals een probleem met de riolering, maar dat een ‘onzichtbaar’ probleem in de digitale wereld, zoals dataverzameling, vaak niet eens als een probleem wordt gezien. ‘Terwijl de consequenties in de digitale wereld vaak vele malen groter zijn dan in de echte wereld. Daar moet je dus extra voorzichtig mee omgaan.’
Tekort aan bewustwording
Ze komt weinig kwaadwillendheid tegen bij gemeenten, maar wel een tekort aan bewustwording, waardoor het onderwerp privacy niet eens of veel te laat aan bod komt. ‘En dan snap ik dat iedereen zegt: tjongejonge, het mag weer niet van de AVG (de algemene verordening gegevensbescherming – red). Maar als jij mensenrechten vooraf als uitgangspunt neemt, kun je in je technologische oplossingen een plek geven. Je bent als gemeente wel verantwoordelijk.’
Vooraf een gedegen risicoanalyse (DPIA) doen is daarom nuttig en vaak wettelijk verplicht, net als het vroegtijdig betrekken van de functionaris gegevensbescherming (FG) bij (nieuwe) privacyvraagstukken. Die FG moet bovendien voldoende tijd en middelen krijgen om het werk goed en onafhankelijk te kunnen doen. Dit is niet altijd het geval, bleek recent uit onderzoek van de Europese toezichthouder.
BB Innovators binnen gemeenten zeggen nogal eens dat bestuurders uit onwetendheid te veel leunen op de FG.
‘In de basis ben ik blij met handelingsverlegenheid, want dat betekent dat mensen beseffen dat er risico's zijn. Maar het is natuurlijk jammer als we uit angst geen gebruik maken van oplossingen die het leven beter maken. Doe het wel, maar doe het veilig. Neem de privacyvereisten op in je uitgangspunten. Kijk in elke fase opnieuw naar de risico's. Check elke keer of je nog voldoet aan de uitgangspunten. En denk vooruit: welke risico’s heeft wat ik nu doe voor de lange termijn?’
Rekening houden met wat er nog niet is
Niemand vindt het raar dat we dijken bouwen die hoger zijn dan waar we denken dat het water maximaal komt, stelt ze. ‘Het waterspiegel zal stijgen. We houden dus rekening met iets wat er nu nog niet is. Op dezelfde manier moet je nadenken over het gebruik van persoonsgegevens. Je wil geen efficiëntieprobleem van de gemeente oplossen door een risico voor burgers te creëren. Het is jouw taak om te zorgen voor die burger.’
Je wil geen efficiëntieprobleem van de gemeente oplossen door een risico voor burgers te creëren.
BB Hoe weet je als raadslid of de rechten van burgers worden geschonden?
‘Wij snappen dat niet iedereen de AVG van buiten kent. Dat hoeft ook niet, maar je moet wel weten waar het over gaat. Raadpleeg onze handreiking voor privacyvragen voor raadsleden. We raden onder andere aan dat je de FG uitnodigt in de raadsvergadering en dat je laat rapporteren hoe de gemeente omgaat met privacy.'
Afvaldata
Als toezichthouder kun je het zelden goed doen, signaleerde Binnenlands Bestuur-columnist en FG Marjolein Louwerse onlangs. Dat blijkt onder meer uit reacties op het bericht dat de gemeente Voorschoten een boete kreeg omdat het afvaldata van bewoners te lang bewaarde. Verdier ziet een grote rechtvaardiging om juist wel schaarse mankracht in te zetten op een relatief onschuldig vergrijp. ‘Als je je niet eens aan de kleine, relatief makkelijke doelen van de AVG kunt conformeren, wat betekent dat dan voor de dingen waar het echt om gaat? Het blijft soms wat onzichtbaar dat ongeveer de helft van onze capaciteit gaat zitten in voorlichting en hulp. De andere helft zit in het straffen. Dat kan zijn in de vorm van een boete, een berisping, of een boze brief. We doen het allemaal om de burger te beschermen. Daar stoppen wij onze energie in, en dat doen we in een mix van kleine dingen die relatief makkelijk zijn op te lossen en heel groot dingen.’
Wij stoppen onze energie in een mix van kleine dingen die relatief makkelijk zijn op te lossen en heel groot dingen.
Jonge toezichthouder
De AVG bestaat nog maar vijf jaar. Ook de Autoriteit Persoonsgegevens in de huidige vorm is nog jong. Pas in 2016 kreeg het onder meer de bevoegdheid om boetes op te leggen bij overtredingen van de Wet bescherming persoonsgegevens (Wbp), de voorloper van de AVG. ‘Ook wij mogen nog aan professionaliteit winnen,’ zegt Verdier. ‘En dat zijn we ook rap aan het doen. We zijn een jonge toezichthouder in ontwikkeling. Misschien is dat maar goed ook. Als wij super volwassen waren geweest en alle organisaties nog niet, dan was het gat wel heel groot geweest.’
In de afgelopen jaren is de toezichthouder gegroeid tot 250 fte. In het jaarplan van 2024 staat dat de AP extra capaciteiten reserveert om onderzoek te doen naar overheden en uitkeringsorganisaties, met name als het gaat om persoonsgegevens. ‘Als ik ze zou hebben, zou ik twee keer zo veel mensen op de overheid zetten, zo veel gaat er mis,’ zegt Verdier.
Cursus tegen onbewuste discriminatie
Idealiter zou ze graag zien dat iedere overheidsorganisatie die een tik op de vingers krijg van de privacywaakhond alle medewerkers naar een cursus stuurt over hoe je zorgt dat je niet onbewust discrimineert. ‘Het moet in onze cultuur gaan zitten om je daarvan bewust te zijn. Er zijn allerlei hulpmiddelen om je te wapenen tegen onbewuste discriminatie. Daardoor wordt de kans dat er een privacyprobleem optreedt veel kleiner. Hoe mooi zou het zijn als het werkveld het zó goed doet, dat wij kunnen krimpen in plaats van groeien? De AVG is nodig, want het is de stok om mee te slaan. Maar het gáát om het beschermen van mensenrechten en de vrijheid voor ons allemaal.’
Privacyregulering in Nederland bestaat niet "nog maar vijf jaar"
De privacytoezichthouder is ook niet "jong".
Beiden bestaan al bijna 40 jaar.
Sinds de volkstelling van 1971 speelde reeds een brede maatschappelijke discussie over de privacy-aspecten.
De Wet PersoonsRegistraties (WPR) dateert van 28 december 1988 en werd op 1 juli 1989 van kracht.
De WPR werd 1 september 2001 opgevolgd door de Wet Bescherming Persoonsgegevens (WBP) en de Registratiekamer werd hernoemd tot College Bescherming Persoonsgegevens.
De WBP werd in 2018 vervangen door de Uitvoeringswet Algemene Verordening Gegevensbescherming (U-AVG).
De Algemene Verordening Gegevensbescherming (AVG) - een Europese verordening dus met rechtstreekse werking - was in mei 2016 reeds werking getreden. Organisaties kregen tot 25 mei 2018 de tijd om hun bedrijfsvoering in overeenstemming te brengen met de bepalingen van de AVG.
Het Europees-breed ontbreken van privacybewustzijn en deugdelijke privacybescherming, alsmede het synchroniseren van verschillende landelijke regelingen waren drie grote aanleidingen tot de AVG.
Voor Nederlandse organisaties had dit overigens weinig hoeven te betekenen indien men gewoon WPR/WPB-compliant was. Velen waren dit echter niet.
Het huidige functioneren van de AP is het direct gevolg van jarenlange politieke bemoeienis.
Meer in het bijzonder de bewuste en doelgerichte tegenwerking door opeenvolgende ministers.
Nog meer in het bijzonder het overheidsbeleid gedurende de aanloopperiode naar de AVG en de transitieperiode 2016-2018.
De op grond van de AVG in te richten toezichthouder AP werd vanaf het begin op een volstrekt ontoereikende capaciteit en budget gezet.
Taken moesten daardoor noodgedwongen beperkt blijven tot voorlichting ter 'bewustwording', ten detrimente van toezichttaken. De schaarse sancties werden - en worden - door politiek en rechtspraak onderuit gehaald.
De op grond van de AVG aan te stellen 'Functionaris Gegevensbescherming' (FG) was bij uitstek de persoon om organisaties voorafgaand en tijdens de transitieperiode 2016-2018 te ondersteunen.
Zodat organisaties tijdig - per 25 mei 2018 - AVG-compliant zouden zijn.
Feitelijk namen overheden en bedrijfsleven pas ná mei 2018 schoorvoetend stappen. Hetgeen veelal beperkt bleef tot cursussen en seminars. FG's werden slechts mondjesmaat aangesteld.
Zelfs tot op vandaag de dag ontbreken bij veel overheden en bedrijven deze FG's nog steeds.
Ruim de helft van de organisaties is nog steeds niet AVG-compliant.
Bestuurders zijn wel 'responsible' maar niet 'accountable', en vinden privacy maar 'lastig gedoe'.
Gebrekkige systeembeveiliging door eigen toedoen wordt verbloemd tot 'kwaadaardige cyberaanvallen door onbekende entiteiten'.
Kortom, ruim 50 jaar privacy-discussie, bijna 40 jaar privacyregulering.
Men is zogezegd 'Bewust Onbekwaam'.