AP start onderzoek naar privacy smart cities

Gemeenten maken steeds vaker gebruik van data van hun bewoners voor allerlei smart city-toepassingen. De Autoriteit Persoonsgegevens (AP) wil nu weten hoe gemeenten in de ontwikkelingsfase omgaan met de privacy van bewoners en bezoekers, en is een verkennend onderzoek gestart.

Toepassingen

In veel gemeenten worden pilots gestart, of al een tijdje uitgevoerd, voor diverse smart city toepassingen. Die zijn zeer uiteenlopend: op het gebied van verkeer en mobiliteit door midden van slimme lerende verkeerslichten, maar ook op onderwerpen als veiligheid, energie en openbare ruimte.

Data

En hoewel smart cities er zijn om het burgers makkelijker te maken en processen te optimaliseren, wordt er in veel gevallen ook een grote hoeveelheid data verzameld, gecombineerd en gebruikt voor technologiën als machine learning. En die data bestaat vaak ook uit persoonsgegevens.

Afweging

Maar volgens de AP vergen smart city-toepassingen een zorgvuldige afweging over het verzamelen en gebruiken van persoonsgegevens. Als er gegevens van gebruikers van de openbare ruimte worden verzameld, en er is sprake van een datalek, dan gaat het meteen om de gegevens van een heleboel burgers. Volgens AP-voorzitter Aleid Wolfsen is het een groot goed om je onbespied te wanen in het openbaar. ‘Het digitaal volgen van mensen op (semi-) openbare plekken is een inbreuk op de privacy die slechts bij uitzondering is toegestaan. Het moet steeds zijn gebaseerd op wetgeving die voldoende duidelijk en nauwkeurig is en waarvan de toepassing steeds voldoende voorspelbaar is.’

Inventarisatie

De AP steunt innovatief gebruik van data voor meerwaarde in de openbare ruimte, mits de privacy van burgers voldoende is gewaarborgd, en de toepassingen aan de eisen van de privacywetgeving voldoen. Daarom wil de privacywaakhond dat gemeente eerst een inventarisatie maken van de risico’s voor de privacy, voordat met het verwerken van persoonsgegevens wordt gestart. Gemeenten kunnen dat doen met een ‘data protection impact assessment’ (DPIA). Als de privacyrisico’s niet kunnen worden afgedekt, dan moet een gemeente de gegevensverwerking voorleggen aan de AP. 

Onderzoek

Voor een verkennend onderzoek naar gegevensverzameling voor smart cities, wil de AP nu deze DPIA’s bij een aantal gemeenten opvragen, om te kijken hoe persoonsgegevens binnen deze projecten worden verwerkt. Later wordt het onderzoek uitgebreid naar meer gemeenten.