Skip to main content

Gemeentelijke privacy: Een blik achter de schermen


De Algemene Verordening Gegevensbescherming (AVG) bestaat dit jaar vijf jaar. Sinds 25 mei 2018 moeten alle organisaties, waaronder gemeenten, voldoen aan de verplichtingen uit de AVG bij het verwerken van persoonsgegevens. Maar hoe is het gesteld met de privacy bij gemeenten? Hebben ze de basis op orde? Je leest het in deze blog.

Vorig jaar heeft burgerrechtenbeweging Bits of Freedom het eindrapport ‘De staat van privacy bij gemeenten’ gepubliceerd. Het eindrapport bevat de resultaten van het onderzoek dat door hen is uitgevoerd naar de naleving van de AVG onder de tien grootste gemeenten van Nederland (Amsterdam, Rotterdam, Den Haag, Utrecht, Eindhoven, Groningen, Tilburg, Almere, Breda en Nijmegen). Tijdens het onderzoek hebben ze vooral gekeken naar onderwerpen die de meeste impact hebben op burgers en de maatschappij. Zoals: Hebben gemeenten het overzicht van de gegevens die zij verwerken? Hoe gaan zij om met het recht op inzage van burgers? Geven ze voldoende prioriteit aan de naleving van de wet? Hoe is de positie van de interne toezichthouder, de Functionaris Gegevensbescherming (FG)? En leggen gemeenten verantwoording af aan de gemeenteraad? Ook is gekeken naar de mate waarin Rekenkamers onderzoek hebben gedaan naar de naleving van de AVG. In deze blog ga ik in op de belangrijkste bevindingen en aanbevelingen uit dit rapport.

Belangrijkste bevindingen

De belangrijkste bevindingen zijn samengevat langs de volgende drie onderwerpen:

  1. Hebben gemeenten de basis op orde?
  2. Maken gemeenten voldoende middelen en capaciteit vrij?
  3. Leggen gemeenten voldoende verantwoording af en worden gemeenten ter verantwoording geroepen?

Hebben gemeenten de basis op orde?

De onderzoekers waren hier duidelijk in… Nee, gemeenten hebben de basis nog niet voldoende op orde. Zo zijn o.a. de verwerkingsregisters niet compleet en actueel, waardoor gemeenten onvoldoende weten welke gegevens ze verwerken, met welk doel en of dat rechtmatig en veilig is. Ook ontbreekt soms een goed overzicht van de samenwerking en bijbehorende contracten. Tegelijkertijd zijn gemeenten wel ambitieus en willen ze datagedreven werken en nieuwe technologieën uitproberen. Dit is alleen onverstandig wanneer de basis niet op orde is. Gegevens waarvan de rechtmatigheid, betrouwbaarheid en actualiteit nog niet gecontroleerd zijn, worden dan gebruikt als input bij het gebruik van bijvoorbeeld big data of algoritmen. Ook worden AVG-verzoeken nog niet overal correct behandeld. Verzoeken blijven onnodig lang liggen, zonder geldige reden.

Maken gemeenten voldoende middelen en capaciteit vrij?

Om alle taken goed op te pakken zijn voldoende privacy officers nodig. Alleen, bij vrijwel alle gemeenten is er sprake van een capaciteitsprobleem. Privacyteams blijken onderbezet waardoor er onvoldoende geadviseerd kan worden over privacy. Dit komt doordat er onvoldoende financiële middelen worden vrijgemaakt voor privacy. Dit wekt de indruk dat verantwoordelijke bestuurders en directies hier onvoldoende prioriteit aan geven. Zonder voldoende capaciteit en middelen kunnen gemeenten ook geen stappen nemen om de situatie te verbeteren, met als risico dat afdelingen de motivatie verliezen om aandacht te hebben voor privacy, omdat ze daarin te weinig ondersteund worden.

Leggen gemeenten voldoende verantwoording af en worden gemeenten ter verantwoording geroepen?

Burgers moeten er op kunnen vertrouwen dat er op een rechtmatige en veilige manier met hun persoonsgegevens wordt omgegaan. Door verantwoording af te leggen en transparantie te bieden over hoe er met persoonsgegevens wordt omgegaan, kan dat vertrouwen groeien bij zowel controlerende organen als burgers. Daarnaast helpt het gemeenteraden en Rekenkamers ook bij hun controlerende taken. Bovendien is het voor verantwoordelijken zelf gunstig als ze open kaart spelen en eerlijk zijn over de huidige stand van zaken. Zo tonen ze bewustzijn en kunnen ze verbeterprocessen voorstellen. Helaas blijkt uit het onderzoek dat de meerderheid van de gemeenten niet actief verantwoording aflegt aan de gemeenteraad door de privacy jaarrapportages van de FG met hen te delen. Slechts vier van de tien gemeenten informeren de gemeenteraad actief. Er valt dus nog veel te verbeteren op dit gebied.

Belangrijkste aanbevelingen

De belangrijkste constatering is dat gemeenten, vier jaar nadat de privacywetgeving werd herzien,

hun gegevensbescherming nog altijd niet op orde hebben. En zolang gemeenten niet weten welke persoonsgegevens ze in huis hebben, wat ze met die gegevens doen, of dat rechtmatig is, en of gegevens tijdig gearchiveerd worden, levert dat risico’s op voor overheden en voor inwoners. In dit kader worden daarom per onderwerp de volgende aanbevelingen gedaan:

De basis op orde

  • Geef het invullen en actueel houden van het verwerkingsregister meer prioriteit. Hoe je een verwerkingsregister opstelt kun je lezen in mijn eerdere blog ‘Een verwerkingsregister invullen, hoe pak je dat aan?’. Vervolgens is het ook belangrijk dat je ervoor zorgt dat het bijhouden van het verwerkingsregister op een juiste en consistente wijze gebeurt. Publiceer het verwerkingsregister ook op de gemeentelijke website. Dit is geen verplichting vanuit de AVG, maar het biedt wel transparantie.
  • Verwerk geen gegevens op een manier die niet te verantwoorden is, bijvoorbeeld door algoritmen geautomatiseerde beslissingen te laten maken die niet transparant zijn.
  • Breng in kaart met welke partijen samenwerkingen zijn aangegaan, vanuit welke hoedanigheid en bevoegdheid en of er sprake is van (gedeelde) verwerkingsverantwoordelijkheid of van een verwerker? Sla de daarbij behorende overeenkomsten op een centrale plek op.
  • Begin niet aan ‘datagedreven werken’ met behulp van nieuwe technologieën en datagedreven toepassingen, zoals big data en algoritmen, als de basis niet op orde is.
  • Zorg voor duidelijke procedures rondom inzageverzoeken van burgers. Je bent als gemeente verplicht de burger goed te informeren over hoe zijn hun rechten van betrokkenen kunnen uitvoeren en een verzoek tot inzage kunnen doen. Vaak is dit terug te vinden op de gemeentelijke website onder het privacystatement. Heb je als gemeente je verwerkingsregister (1e bullet) goed ingericht, dan helpt dit je enorm bij het uitvoeren van deze verzoeken. Evalueer dit proces ook periodiek om te controleren of het proces effectief is en verzoeken tijdig en naar behoren worden afgehandeld.

Middelen en capaciteit

  • Zorg dat er voldoende middelen en capaciteit worden vrijgemaakt voor de verwerking en bescherming van persoonsgegevens. Zonder voldoende middelen en capaciteit op het gebied van privacy kan de rest van de gemeentelijke organisatie niet gefaciliteerd worden, met alle gevolgen van dien. Dit is dus een randvoorwaarde!
  • Zie privacy niet als een taak van een klein groepje medewerkers, maar als een gezamenlijke verantwoordelijkheid voor alle afdelingen binnen de organisatie.
  • Zorg voor een onafhankelijke positionering van de FG. zodat hij zijn taken goed kan uitvoeren. De FG moet rechtstreeks kunnen rapporteren aan de directie en wethouder.
  • Reageer op de rapportages van de FG door aan te geven welke adviezen op welke wijze worden opgevolgd. Geef daarbij ook aan als adviezen niet worden opgevolgd en met welke reden.

Verantwoording afleggen

  • Leg verantwoording af aan de gemeenteraad middels een jaarrapportage privacy.  Bestuurders willen graag weten waar de organisatie staat en hoe de privacywetgeving wordt nageleefd binnen de gemeente. In de jaarrapportage staat beschreven welke acties en maatregelen er het afgelopen jaar zijn genomen op privacyvlak. Maak deze rapportage ook openbaar voor burgers.
  • Volg als gemeenteraad een privacycursus, gericht op de controlerende functie van de gemeenteraad, zodat gemeenteraadsleden beter weten waar ze op moeten letten als het gaat om privacy.

Ben je benieuwd naar alle onderzoeksresultaten? Lees dan hier het hele rapport.

Conclusie

Gemeenten zijn er nog niet. Maar, inmiddels zijn we weer een jaar verder en hebben gemeenten hopelijk de basis meer op orde. Want, in onze huidige maatschappij is privacy belangrijker dan ooit. Hoe is het gesteld met de privacy bij jou gemeente?

Meer informatie of hulp nodig?

Heb je na het lezen van deze blog vragen of hulp nodig binnen jouw gemeente op dit vlak? Wij kunnen jouw gemeente helpen bij het implementeren van bovenstaande aanbevelingen. Laat ons dit dan weten en neem contact met ons op.  

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …

Een verwerkersovereenkomst afgesloten, en dan?

Een van de belangrijkste eisen uit de AVG is dat je een verwerkersovereenkomst moet opstellen wanneer je persoonsgegevens laat verwerken door anderen. In deze blog lees je meer over wat er moet gebeuren nadat je een verwerkersovereenkomst hebt afg…

Hoe kan het 9-vlaksmodel helpen bij de implementatie van BIO-maatregelen?

Het 9-vlaksmodel van Rik Maes is een handig hulpmiddel voor informatiemanagement. Het helpt organisaties bij het begrijpen en beheren van hun informatiesystemen en -processen. Ontdek in deze blog hoe dit model ook kan helpen bij de implementatie v…

Samenhang Europese digitale wetgeving: voorbereiding voor gemeenten

Tussen nu en 2026 krijg je als gemeente te maken met maar liefst 13 nieuwe wetten die de digitale toekomst van Europa vormgeven. Deze nieuwe digitale wetten hebben veel invloed op wat gemeenten doen. Om deze gevolgen beter te begrijpen, heeft de V…

Wat is een gerechtvaardigd belang?

Wanneer je als organisatie persoonsgegevens verwerkt, heb je altijd een zogeheten ‘grondslag voor de verwerking van persoonsgegevens’ nodig. Eén van de grondslagen is een ‘gerechtvaardigd belang’. Maar wat houdt een ‘gerechtvaardigd belang’ eigenl…

Het volwassenheidsmodel voor authenticatie

In de factsheet ‘Volwassen authenticeren – gebruik veilige middelen voor authenticatie’ adviseert het NCSC om accounts te beveiligen op een manier die past bij de gevoeligheid van de gegevens en middelen waar deze toegang toe bieden.