De Algemene Verordening Gegevensbescherming (AVG) bestaat dit jaar vijf jaar. Sinds 25 mei 2018 moeten alle organisaties, waaronder gemeenten, voldoen aan de verplichtingen uit de AVG bij het verwerken van persoonsgegevens. Maar hoe is het gesteld met de privacy bij gemeenten? Hebben ze de basis op orde? Je leest het in deze blog.
Vorig jaar heeft burgerrechtenbeweging Bits of Freedom het eindrapport ‘De staat van privacy bij gemeenten’ gepubliceerd. Het eindrapport bevat de resultaten van het onderzoek dat door hen is uitgevoerd naar de naleving van de AVG onder de tien grootste gemeenten van Nederland (Amsterdam, Rotterdam, Den Haag, Utrecht, Eindhoven, Groningen, Tilburg, Almere, Breda en Nijmegen). Tijdens het onderzoek hebben ze vooral gekeken naar onderwerpen die de meeste impact hebben op burgers en de maatschappij. Zoals: Hebben gemeenten het overzicht van de gegevens die zij verwerken? Hoe gaan zij om met het recht op inzage van burgers? Geven ze voldoende prioriteit aan de naleving van de wet? Hoe is de positie van de interne toezichthouder, de Functionaris Gegevensbescherming (FG)? En leggen gemeenten verantwoording af aan de gemeenteraad? Ook is gekeken naar de mate waarin Rekenkamers onderzoek hebben gedaan naar de naleving van de AVG. In deze blog ga ik in op de belangrijkste bevindingen en aanbevelingen uit dit rapport.
De belangrijkste bevindingen zijn samengevat langs de volgende drie onderwerpen:
Hebben gemeenten de basis op orde?
De onderzoekers waren hier duidelijk in… Nee, gemeenten hebben de basis nog niet voldoende op orde. Zo zijn o.a. de verwerkingsregisters niet compleet en actueel, waardoor gemeenten onvoldoende weten welke gegevens ze verwerken, met welk doel en of dat rechtmatig en veilig is. Ook ontbreekt soms een goed overzicht van de samenwerking en bijbehorende contracten. Tegelijkertijd zijn gemeenten wel ambitieus en willen ze datagedreven werken en nieuwe technologieën uitproberen. Dit is alleen onverstandig wanneer de basis niet op orde is. Gegevens waarvan de rechtmatigheid, betrouwbaarheid en actualiteit nog niet gecontroleerd zijn, worden dan gebruikt als input bij het gebruik van bijvoorbeeld big data of algoritmen. Ook worden AVG-verzoeken nog niet overal correct behandeld. Verzoeken blijven onnodig lang liggen, zonder geldige reden.
Maken gemeenten voldoende middelen en capaciteit vrij?
Om alle taken goed op te pakken zijn voldoende privacy officers nodig. Alleen, bij vrijwel alle gemeenten is er sprake van een capaciteitsprobleem. Privacyteams blijken onderbezet waardoor er onvoldoende geadviseerd kan worden over privacy. Dit komt doordat er onvoldoende financiële middelen worden vrijgemaakt voor privacy. Dit wekt de indruk dat verantwoordelijke bestuurders en directies hier onvoldoende prioriteit aan geven. Zonder voldoende capaciteit en middelen kunnen gemeenten ook geen stappen nemen om de situatie te verbeteren, met als risico dat afdelingen de motivatie verliezen om aandacht te hebben voor privacy, omdat ze daarin te weinig ondersteund worden.
Leggen gemeenten voldoende verantwoording af en worden gemeenten ter verantwoording geroepen?
Burgers moeten er op kunnen vertrouwen dat er op een rechtmatige en veilige manier met hun persoonsgegevens wordt omgegaan. Door verantwoording af te leggen en transparantie te bieden over hoe er met persoonsgegevens wordt omgegaan, kan dat vertrouwen groeien bij zowel controlerende organen als burgers. Daarnaast helpt het gemeenteraden en Rekenkamers ook bij hun controlerende taken. Bovendien is het voor verantwoordelijken zelf gunstig als ze open kaart spelen en eerlijk zijn over de huidige stand van zaken. Zo tonen ze bewustzijn en kunnen ze verbeterprocessen voorstellen. Helaas blijkt uit het onderzoek dat de meerderheid van de gemeenten niet actief verantwoording aflegt aan de gemeenteraad door de privacy jaarrapportages van de FG met hen te delen. Slechts vier van de tien gemeenten informeren de gemeenteraad actief. Er valt dus nog veel te verbeteren op dit gebied.
De belangrijkste constatering is dat gemeenten, vier jaar nadat de privacywetgeving werd herzien,
hun gegevensbescherming nog altijd niet op orde hebben. En zolang gemeenten niet weten welke persoonsgegevens ze in huis hebben, wat ze met die gegevens doen, of dat rechtmatig is, en of gegevens tijdig gearchiveerd worden, levert dat risico’s op voor overheden en voor inwoners. In dit kader worden daarom per onderwerp de volgende aanbevelingen gedaan:
De basis op orde
Middelen en capaciteit
Verantwoording afleggen
Ben je benieuwd naar alle onderzoeksresultaten? Lees dan hier het hele rapport.
Gemeenten zijn er nog niet. Maar, inmiddels zijn we weer een jaar verder en hebben gemeenten hopelijk de basis meer op orde. Want, in onze huidige maatschappij is privacy belangrijker dan ooit. Hoe is het gesteld met de privacy bij jou gemeente?
Heb je na het lezen van deze blog vragen of hulp nodig binnen jouw gemeente op dit vlak? Wij kunnen jouw gemeente helpen bij het implementeren van bovenstaande aanbevelingen. Laat ons dit dan weten en neem contact met ons op.
Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!
Copyright © 2014 - 2021 IB&P B.V.
algemene voorwaarden - privacyverklaring.
responsible disclosure - sitemap