De Algemene Verordening Gegevensbescherming (AVG) bestaat dit jaar vijf jaar. Sinds 25 mei 2018 moeten alle organisaties, waaronder gemeenten, voldoen aan de verplichtingen uit de AVG bij het verwerken van persoonsgegevens. Maar hoe is het gesteld met de privacy bij gemeenten? Hebben ze de basis op orde? Je leest het in deze blog.

Vorig jaar heeft burgerrechtenbeweging Bits of Freedom het eindrapport ‘De staat van privacy bij gemeenten’ gepubliceerd. Het eindrapport bevat de resultaten van het onderzoek dat door hen is uitgevoerd naar de naleving van de AVG onder de tien grootste gemeenten van Nederland (Amsterdam, Rotterdam, Den Haag, Utrecht, Eindhoven, Groningen, Tilburg, Almere, Breda en Nijmegen). Tijdens het onderzoek hebben ze vooral gekeken naar onderwerpen die de meeste impact hebben op burgers en de maatschappij. Zoals: Hebben gemeenten het overzicht van de gegevens die zij verwerken? Hoe gaan zij om met het recht op inzage van burgers? Geven ze voldoende prioriteit aan de naleving van de wet? Hoe is de positie van de interne toezichthouder, de Functionaris Gegevensbescherming (FG)? En leggen gemeenten verantwoording af aan de gemeenteraad? Ook is gekeken naar de mate waarin Rekenkamers onderzoek hebben gedaan naar de naleving van de AVG. In deze blog ga ik in op de belangrijkste bevindingen en aanbevelingen uit dit rapport.

Belangrijkste bevindingen

De belangrijkste bevindingen zijn samengevat langs de volgende drie onderwerpen:

1. Hebben gemeenten de basis op orde?
2. Maken gemeenten voldoende middelen en capaciteit vrij?
3. Leggen gemeenten voldoende verantwoording af en worden gemeenten ter verantwoording geroepen?

Hebben gemeenten de basis op orde?

De onderzoekers waren hier duidelijk in… Nee, gemeenten hebben de basis nog niet voldoende op orde. Zo zijn o.a. de verwerkingsregisters niet compleet en actueel, waardoor gemeenten onvoldoende weten welke gegevens ze verwerken, met welk doel en of dat rechtmatig en veilig is. Ook ontbreekt soms een goed overzicht van de samenwerking en bijbehorende contracten. Tegelijkertijd zijn gemeenten wel ambitieus en willen ze datagedreven werken en nieuwe technologieën uitproberen. Dit is alleen onverstandig wanneer de basis niet op orde is. Gegevens waarvan de rechtmatigheid, betrouwbaarheid en actualiteit nog niet gecontroleerd zijn, worden dan gebruikt als input bij het gebruik van bijvoorbeeld big data of algoritmen. Ook worden AVG-verzoeken nog niet overal correct behandeld. Verzoeken blijven onnodig lang liggen, zonder geldige reden.

Maken gemeenten voldoende middelen en capaciteit vrij?

Om alle taken goed op te pakken zijn voldoende privacy officers nodig. Alleen, bij vrijwel alle gemeenten is er sprake van een capaciteitsprobleem. Privacyteams blijken onderbezet waardoor er onvoldoende geadviseerd kan worden over privacy. Dit komt doordat er onvoldoende financiële middelen worden vrijgemaakt voor privacy. Dit wekt de indruk dat verantwoordelijke bestuurders en directies hier onvoldoende prioriteit aan geven. Zonder voldoende capaciteit en middelen kunnen gemeenten ook geen stappen nemen om de situatie te verbeteren, met als risico dat afdelingen de motivatie verliezen om aandacht te hebben voor privacy, omdat ze daarin te weinig ondersteund worden.

Leggen gemeenten voldoende verantwoording af en worden gemeenten ter verantwoording geroepen?

Burgers moeten er op kunnen vertrouwen dat er op een rechtmatige en veilige manier met hun persoonsgegevens wordt omgegaan. Door verantwoording af te leggen en transparantie te bieden over hoe er met persoonsgegevens wordt omgegaan, kan dat vertrouwen groeien bij zowel controlerende organen als burgers. Daarnaast helpt het gemeenteraden en Rekenkamers ook bij hun controlerende taken. Bovendien is het voor verantwoordelijken zelf gunstig als ze open kaart spelen en eerlijk zijn over de huidige stand van zaken. Zo tonen ze bewustzijn en kunnen ze verbeterprocessen voorstellen. Helaas blijkt uit het onderzoek dat de meerderheid van de gemeenten niet actief verantwoording aflegt aan de gemeenteraad door de privacy jaarrapportages van de FG met hen te delen. Slechts vier van de tien gemeenten informeren de gemeenteraad actief. Er valt dus nog veel te verbeteren op dit gebied.

Belangrijkste aanbevelingen

De belangrijkste constatering is dat gemeenten, vier jaar nadat de privacywetgeving werd herzien,

hun gegevensbescherming nog altijd niet op orde hebben. En zolang gemeenten niet weten welke persoonsgegevens ze in huis hebben, wat ze met die gegevens doen, of dat rechtmatig is, en of gegevens tijdig gearchiveerd worden, levert dat risico’s op voor overheden en voor inwoners. In dit kader worden daarom per onderwerp de volgende aanbevelingen gedaan:

De basis op orde

• Geef het invullen en actueel houden van het verwerkingsregister meer prioriteit. Hoe je een verwerkingsregister opstelt kun je lezen in mijn eerdere blog ‘Een verwerkingsregister invullen, hoe pak je dat aan?’. Vervolgens is het ook belangrijk dat je ervoor zorgt dat het bijhouden van het verwerkingsregister op een juiste en consistente wijze gebeurt. Publiceer het verwerkingsregister ook op de gemeentelijke website. Dit is geen verplichting vanuit de AVG, maar het biedt wel transparantie.
• Verwerk geen gegevens op een manier die niet te verantwoorden is, bijvoorbeeld door algoritmen geautomatiseerde beslissingen te laten maken die niet transparant zijn.
• Breng in kaart met welke partijen samenwerkingen zijn aangegaan, vanuit welke hoedanigheid en bevoegdheid en of er sprake is van (gedeelde) verwerkingsverantwoordelijkheid of van een verwerker? Sla de daarbij behorende overeenkomsten op een centrale plek op.
• Begin niet aan ‘datagedreven werken’ met behulp van nieuwe technologieën en datagedreven toepassingen, zoals big data en algoritmen, als de basis niet op orde is.
• Zorg voor duidelijke procedures rondom inzageverzoeken van burgers. Je bent als gemeente verplicht de burger goed te informeren over hoe zijn hun rechten van betrokkenen kunnen uitvoeren en een verzoek tot inzage kunnen doen. Vaak is dit terug te vinden op de gemeentelijke website onder het privacystatement. Heb je als gemeente je verwerkingsregister (1^e bullet) goed ingericht, dan helpt dit je enorm bij het uitvoeren van deze verzoeken. Evalueer dit proces ook periodiek om te controleren of het proces effectief is en verzoeken tijdig en naar behoren worden afgehandeld.

Middelen en capaciteit

• Zorg dat er voldoende middelen en capaciteit worden vrijgemaakt voor de verwerking en bescherming van persoonsgegevens. Zonder voldoende middelen en capaciteit op het gebied van privacy kan de rest van de gemeentelijke organisatie niet gefaciliteerd worden, met alle gevolgen van dien. Dit is dus een randvoorwaarde!
• Zie privacy niet als een taak van een klein groepje medewerkers, maar als een gezamenlijke verantwoordelijkheid voor alle afdelingen binnen de organisatie.
• Zorg voor een onafhankelijke positionering van de FG. zodat hij zijn taken goed kan uitvoeren. De FG moet rechtstreeks kunnen rapporteren aan de directie en wethouder.
• Reageer op de rapportages van de FG door aan te geven welke adviezen op welke wijze worden opgevolgd. Geef daarbij ook aan als adviezen niet worden opgevolgd en met welke reden.

Verantwoording afleggen

• Leg verantwoording af aan de gemeenteraad middels een jaarrapportage privacy.  Bestuurders willen graag weten waar de organisatie staat en hoe de privacywetgeving wordt nageleefd binnen de gemeente. In de jaarrapportage staat beschreven welke acties en maatregelen er het afgelopen jaar zijn genomen op privacyvlak. Maak deze rapportage ook openbaar voor burgers.
• Volg als gemeenteraad een privacycursus, gericht op de controlerende functie van de gemeenteraad, zodat gemeenteraadsleden beter weten waar ze op moeten letten als het gaat om privacy.

Ben je benieuwd naar alle onderzoeksresultaten? Lees dan hier het hele rapport.

Conclusie

Gemeenten zijn er nog niet. Maar, inmiddels zijn we weer een jaar verder en hebben gemeenten hopelijk de basis meer op orde. Want, in onze huidige maatschappij is privacy belangrijker dan ooit. Hoe is het gesteld met de privacy bij jou gemeente?

Meer informatie of hulp nodig?

Heb je na het lezen van deze blog vragen of hulp nodig binnen jouw gemeente op dit vlak? Wij kunnen jouw gemeente helpen bij het implementeren van bovenstaande aanbevelingen. Laat ons dit dan weten en neem contact met ons op.