Verwerkingsregisters overheid slecht toegankelijk

De registers waarin overheden verplicht moeten bijhouden hoe en welke persoonsgegevens zij verwerken, zijn slecht toegankelijk. Dit blijkt uit onderzoek van Open State Foundation die deze registers bij alle Nederlandse ministeries, provincies en gemeenten opgevraagd heeft. Een op de vijf overheden publiceert deze registers, bijna tweederde van de registers is nog niet compleet en de registers zien er bij alle overheden anders uit. Open State Foundation pleit voor publieke en gestandaardiseerde registers, zodat inwoners weten hoe en waarom de overheid hun informatie gebruikt.

Sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht. In artikel 30 van deze wet staat dat organisaties een register van verwerkingsactiviteiten moeten bijhouden. In dit register staat welke persoonsgegevens verwerkt wordt, waarom deze data verwerkt wordt, met wie deze informatie gedeeld kan worden, wie er verantwoordelijk is, hoe lang de data bewaard zal worden en hoe de beveiliging van de data geregeld is. De functionaris gegevensbescherming is verantwoordelijk voor dit verwerkingsregister.

Register geeft inzicht in verwerking persoonsgegevens

Publieke verwerkingsregisters maken de informatiehuishouding en verwerking van persoonsgegevens door overheden transparant. Daarom heeft Open State Foundation de registers bij alle Nederlandse ministeries, provincies en gemeenten opgevraagd en onderzocht. Uit dit onderzoek blijkt dat maar een op de vijf overheden (89 van de 379) het register gepubliceerd heeft.

Het register is een belangrijk instrument dat overheden kan helpen om de beveiliging van persoonsgegevens op orde te brengen. Tom Kunzler, adjunct-directeur Open State Foundation: ‘Het verwerkingsregister geeft inzicht in de informatiehuishouding van overheden en de verwerking van persoonsgegevens. Wij vinden dat inwoners het recht hebben om te zien hoe en waarvoor overheden hun persoonsgegevens verwerken. Wij roepen daarom alle overheden op dit register publiek beschikbaar te stellen op de eigen website.’

Met behulp van informatieverzoeken zijn machine-verwerkbare registers opgevraagd en er zijn er na deze verzoeken in totaal 246 registers ontvangen. Sommige overheden hebben het verzoek geweigerd en andere overheden gaven aan dat ze nog druk bezig waren met het afronden van het register en het daarom (nog) niet wilden delen.

Elke overheid een ander register

Taken van gemeenten komen redelijk overeen en daardoor zullen gemeenten veelal dezelfde persoonsgegevens om dezelfde redenen verwerken. Dit uit zich echter niet in de verwerkingsregisters, die per overheid sterk verschillen. Het kleinste register bestaat uit slechts 55 verwerkingen en het grootste register uit maar liefst 1.417 verwerkingen. De mediaan voor het aantal verwerkingen is 165. De grootte van de gemeente heeft enige invloed op het aantal verwerkingen. Zo heeft een grote gemeente gemiddeld iets meer dan 300 verwerkingen en een kleine gemeente iets meer dan 200. Het grote verschil in aantal verwerkingen toont aan dat overheden diverse detailniveaus kiezen voor het opstellen van het registers. Hoe kleiner het detailniveau, des te lastiger het echter zal zijn om het register actueel te houden.

Daarnaast mist in 63 procent van de ontvangen registers een of meerdere wettelijk verplichte kolommen, daarmee zijn de registers dus niet compleet. Een grote meerderheid (83.3 procent) van de registers bevat tevens additionele kolommen met informatie die niet verplicht zijn en we zien dat de registers in een veelvoud aan formaten gepubliceerd worden, waaronder .pdf, .xlsx, database en .csv. Een register in .pdf-formaat is technisch niet goed te hergebruiken en vrijwel onleesbaar vanwege het grote aantal kolommen, zoals het register van de gemeente Amersfoort hieronder aantoont.

Verder lezen bij de bron
IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Nieuwsbrief

Deze versturen we 3-4x per jaar.

Recente blogs

De rol van de gemeenteraad bij informatiebeveiliging en privacy
De gemeenteraad heeft een belangrijke rol om er op toe te zien dat informatiebeveiliging en privacybescherming goed wordt geborgd binnen de gemeentelijke organisatie. In deze blog lees je wat die rol inhoudt en welke taken en verantwoordelijkheden daarbij horen.
Gemeentelijke privacy: Een blik achter de schermen
De AVG bestaat dit jaar vijf jaar. Sinds 25 mei 2018 moeten alle organisaties, waaronder gemeenten, voldoen aan de verplichtingen uit de AVG bij het verwerken van persoonsgegevens. Maar hoe is het gesteld met de privacy bij gemeenten? Hebben ze de basis op orde? Je leest het in deze blog.
Hoe zet je Artificial Intelligence (AI) succesvol in?
Gemeenten maken steeds meer gebruik van AI, omdat dit ontzettend veel kansen biedt. Tegelijkertijd roept het gebruik van AI ook nieuwe vragen op. Je leest er meer over in deze blog

Meer recente berichten

Privacy risico s in kaart brengen met een DPIA
Verder lezen
Beveiliging informatie geen prioriteit bij Ministerie van Buitenlandse Zaken
Verder lezen
NIS2: onduidelijke wet in combinatie met hoge boetes
Verder lezen
AP wil opheldering over fraude algoritme gemeenten
Verder lezen
Een tip of klacht indienen bij de AP
Verder lezen
Wegiz vraagt om aantal nieuwe NEN normen
Verder lezen
Hack bij gemeente: criminelen hadden toegang tot tienduizenden gegevens
Verder lezen
Kabinet heeft meer tijd nodig voor anonieme bsn s en socialemediamonitoring
Verder lezen
Europese Hof houdt onzekerheid over AVG in stand
Verder lezen
Organisatorische inbedding van maatregelen
Verder lezen