'Bescherming gegevens moet in ieders hoofd'

Net als iedere andere organisatie moeten gemeenten ­voldoen aan de regels van de Algemene verordening gegevensbescherming. Maar het komt nog te vaak voor dat ze een potje maken van de privacy. De Autoriteit Persoonsgegevens (AP) vindt dat gemeenten beter hun best moeten doen.

Verzwaring

De gemeente Hellevoetsluis had dit jaar de twijfelachtige eer de eerste ge­meente te zijn waar de Autoriteit Persoonsgege­vens het toezicht verzwaarde. Na een onderzoek door de eigen rekenkamer bleek dat de gemeente niet genoeg deed om gevoelige informatie van haar eigen burgers te beschermen. Een eigen privacybeleid had de gemeente niet, en de regels werden meerdere keren overschreden.

Datalek

En de gemeente had beter moeten weten. In 2019 bleek dat Hellevoetsluis een datalek had in het eigen systeem; documenten en gegevens van burgers waren openbaar bereikbaar. In een eigen bekendmaking over het verzwaren van het toezicht noemde de AP Hellevoetsluis overigens niet bij naam. Dat was een bewuste keuze, zegt Monique Verdier, vicevoorzitter van de privacywaakhond. ‘We wilden met het bericht vooral een signaal geven: zorg goed voor de gegevens van de eigen burger. Neem het onderwerp niet pas serieus als het te laat is en je wordt geconfronteerd met een datalek of een hack.’

Bevoegdheden

Maar de AP rolde ook even met de spierballen. De Autoriteit heeft sinds de invoering van de Algemene verordening gegevensbescherming (AVG) bevoegdheden gekregen om in te grijpen als organisaties – dus ook overheden – zich niet houden aan de privacyregels. Verscherpt toezicht, waarbij een gemeente regelmatig moet rapporteren aan de AP, is daar één van. Maar er kunnen ook zware boetes worden opgelegd. Toch bestrijdt Verdier dat Hellevoetsluis als voorbeeld werd gesteld. ‘We hebben dat niet zomaar gedaan. Er is daar echt wat aan de hand.’

Onduidelijke grens

Hellevoetsluis is beslist niet de enige ­gemeente waar de AVG, van kracht sinds 2018, nog niet heeft geleid tot een beter uitgewerkt privacybeleid. Vorige week bleek uit een onderzoek door de NHL Stenden Hogeschool dat gemeenten in het online volgen van de eigen burgers soms best ver gaan. Ze houden sociale media als Facebook en Twitter in de gaten om beter te anticiperen op ongeregeldheden bij demonstraties of speuren naar bijstandsfraude op Marktplaats. Daarbij wordt in een aantal gemeenten zelfs gebruik gemaakt van nepaccounts, bijvoorbeeld om toegang te krijgen tot besloten
Facebookgroepen. Volgens de onderzoekers is de grens tussen wat wel en niet mag voor ambtenaren vaak onduidelijk. Verdier: ‘Gemeenten, of andere overheden, mogen mensen absoluut niet zomaar volgen. Alleen in uitzonderlijke gevallen en onder strikte voorwaarden is dat toegestaan. Wij kennen zo geen voorbeeld wanneer een gemeente dat wel zou mogen. In de meeste gemeenten wordt geen gebruik gemaakt van een protocol voor het online monitoren van burgers.’

Dakkapel

De gevolgen van het verzamelen van persoonsgegevens of het lekken ervan kunnen groot zijn, zelfs als het op het eerste oog niet om heel gevoelige informatie gaat. Verdier: ‘Stel je eens voor dat een gemeente een mail over de aanvraag van een dakkapelvergunning heeft gelekt. Dat lijkt misschien geen gevoelige informatie, maar het kan wel gebruikt worden door een crimineel om zich bijvoorbeeld voor te doen als ambtenaar en de aanvrager op te lichten. En die gevoeligheid is nog veel groter als het om het sociaal domein gaat. In Finland werden ouders gechanteerd door criminelen nadat dossiers van de jeugdzorgorganisatie door een datalek waren bemachtigd. Gemeenten zetten de veiligheid van de eigen burger bovenaan. Als de riolering overloopt, dan komt men direct in actie. Dat moet ook gelden voor de digitale veiligheid. Als je goed zorgt voor de burger, zorg je ook goed voor zijn persoonsgegevens.’

Lees het volledige artikel in Binnenlands Bestuur nr. 10 van deze week