Gemeentelijke privacy: Een blik achter de schermen

| Erna Havinga | ,

De Algemene Verordening Gegevensbescherming (AVG) bestaat dit jaar vijf jaar. Sinds 25 mei 2018 moeten alle organisaties, waaronder gemeenten, voldoen aan de verplichtingen uit de AVG bij het verwerken van persoonsgegevens. Maar hoe is het gesteld met de privacy bij gemeenten? Hebben ze de basis op orde? Je leest het in deze blog.

Vorig jaar heeft burgerrechtenbeweging Bits of Freedom het eindrapport ‘De staat van privacy bij gemeenten’ gepubliceerd. Het eindrapport bevat de resultaten van het onderzoek dat door hen is uitgevoerd naar de naleving van de AVG onder de tien grootste gemeenten van Nederland (Amsterdam, Rotterdam, Den Haag, Utrecht, Eindhoven, Groningen, Tilburg, Almere, Breda en Nijmegen). Tijdens het onderzoek hebben ze vooral gekeken naar onderwerpen die de meeste impact hebben op burgers en de maatschappij. Zoals: Hebben gemeenten het overzicht van de gegevens die zij verwerken? Hoe gaan zij om met het recht op inzage van burgers? Geven ze voldoende prioriteit aan de naleving van de wet? Hoe is de positie van de interne toezichthouder, de Functionaris Gegevensbescherming (FG)? En leggen gemeenten verantwoording af aan de gemeenteraad? Ook is gekeken naar de mate waarin Rekenkamers onderzoek hebben gedaan naar de naleving van de AVG. In deze blog ga ik in op de belangrijkste bevindingen en aanbevelingen uit dit rapport.

Belangrijkste bevindingen

De belangrijkste bevindingen zijn samengevat langs de volgende drie onderwerpen:

  1. Hebben gemeenten de basis op orde?
  2. Maken gemeenten voldoende middelen en capaciteit vrij?
  3. Leggen gemeenten voldoende verantwoording af en worden gemeenten ter verantwoording geroepen?

Hebben gemeenten de basis op orde?

De onderzoekers waren hier duidelijk in… Nee, gemeenten hebben de basis nog niet voldoende op orde. Zo zijn o.a. de verwerkingsregisters niet compleet en actueel, waardoor gemeenten onvoldoende weten welke gegevens ze verwerken, met welk doel en of dat rechtmatig en veilig is. Ook ontbreekt soms een goed overzicht van de samenwerking en bijbehorende contracten. Tegelijkertijd zijn gemeenten wel ambitieus en willen ze datagedreven werken en nieuwe technologieën uitproberen. Dit is alleen onverstandig wanneer de basis niet op orde is. Gegevens waarvan de rechtmatigheid, betrouwbaarheid en actualiteit nog niet gecontroleerd zijn, worden dan gebruikt als input bij het gebruik van bijvoorbeeld big data of algoritmen. Ook worden AVG-verzoeken nog niet overal correct behandeld. Verzoeken blijven onnodig lang liggen, zonder geldige reden.

Maken gemeenten voldoende middelen en capaciteit vrij?

Om alle taken goed op te pakken zijn voldoende privacy officers nodig. Alleen, bij vrijwel alle gemeenten is er sprake van een capaciteitsprobleem. Privacyteams blijken onderbezet waardoor er onvoldoende geadviseerd kan worden over privacy. Dit komt doordat er onvoldoende financiële middelen worden vrijgemaakt voor privacy. Dit wekt de indruk dat verantwoordelijke bestuurders en directies hier onvoldoende prioriteit aan geven. Zonder voldoende capaciteit en middelen kunnen gemeenten ook geen stappen nemen om de situatie te verbeteren, met als risico dat afdelingen de motivatie verliezen om aandacht te hebben voor privacy, omdat ze daarin te weinig ondersteund worden.

Leggen gemeenten voldoende verantwoording af en worden gemeenten ter verantwoording geroepen?

Burgers moeten er op kunnen vertrouwen dat er op een rechtmatige en veilige manier met hun persoonsgegevens wordt omgegaan. Door verantwoording af te leggen en transparantie te bieden over hoe er met persoonsgegevens wordt omgegaan, kan dat vertrouwen groeien bij zowel controlerende organen als burgers. Daarnaast helpt het gemeenteraden en Rekenkamers ook bij hun controlerende taken. Bovendien is het voor verantwoordelijken zelf gunstig als ze open kaart spelen en eerlijk zijn over de huidige stand van zaken. Zo tonen ze bewustzijn en kunnen ze verbeterprocessen voorstellen. Helaas blijkt uit het onderzoek dat de meerderheid van de gemeenten niet actief verantwoording aflegt aan de gemeenteraad door de privacy jaarrapportages van de FG met hen te delen. Slechts vier van de tien gemeenten informeren de gemeenteraad actief. Er valt dus nog veel te verbeteren op dit gebied.

Belangrijkste aanbevelingen

De belangrijkste constatering is dat gemeenten, vier jaar nadat de privacywetgeving werd herzien,

hun gegevensbescherming nog altijd niet op orde hebben. En zolang gemeenten niet weten welke persoonsgegevens ze in huis hebben, wat ze met die gegevens doen, of dat rechtmatig is, en of gegevens tijdig gearchiveerd worden, levert dat risico’s op voor overheden en voor inwoners. In dit kader worden daarom per onderwerp de volgende aanbevelingen gedaan:

De basis op orde

  • Geef het invullen en actueel houden van het verwerkingsregister meer prioriteit. Hoe je een verwerkingsregister opstelt kun je lezen in mijn eerdere blog ‘Een verwerkingsregister invullen, hoe pak je dat aan?’. Vervolgens is het ook belangrijk dat je ervoor zorgt dat het bijhouden van het verwerkingsregister op een juiste en consistente wijze gebeurt. Publiceer het verwerkingsregister ook op de gemeentelijke website. Dit is geen verplichting vanuit de AVG, maar het biedt wel transparantie.
  • Verwerk geen gegevens op een manier die niet te verantwoorden is, bijvoorbeeld door algoritmen geautomatiseerde beslissingen te laten maken die niet transparant zijn.
  • Breng in kaart met welke partijen samenwerkingen zijn aangegaan, vanuit welke hoedanigheid en bevoegdheid en of er sprake is van (gedeelde) verwerkingsverantwoordelijkheid of van een verwerker? Sla de daarbij behorende overeenkomsten op een centrale plek op.
  • Begin niet aan ‘datagedreven werken’ met behulp van nieuwe technologieën en datagedreven toepassingen, zoals big data en algoritmen, als de basis niet op orde is.
  • Zorg voor duidelijke procedures rondom inzageverzoeken van burgers. Je bent als gemeente verplicht de burger goed te informeren over hoe zijn hun rechten van betrokkenen kunnen uitvoeren en een verzoek tot inzage kunnen doen. Vaak is dit terug te vinden op de gemeentelijke website onder het privacystatement. Heb je als gemeente je verwerkingsregister (1e bullet) goed ingericht, dan helpt dit je enorm bij het uitvoeren van deze verzoeken. Evalueer dit proces ook periodiek om te controleren of het proces effectief is en verzoeken tijdig en naar behoren worden afgehandeld.

Middelen en capaciteit

  • Zorg dat er voldoende middelen en capaciteit worden vrijgemaakt voor de verwerking en bescherming van persoonsgegevens. Zonder voldoende middelen en capaciteit op het gebied van privacy kan de rest van de gemeentelijke organisatie niet gefaciliteerd worden, met alle gevolgen van dien. Dit is dus een randvoorwaarde!
  • Zie privacy niet als een taak van een klein groepje medewerkers, maar als een gezamenlijke verantwoordelijkheid voor alle afdelingen binnen de organisatie.
  • Zorg voor een onafhankelijke positionering van de FG. zodat hij zijn taken goed kan uitvoeren. De FG moet rechtstreeks kunnen rapporteren aan de directie en wethouder.
  • Reageer op de rapportages van de FG door aan te geven welke adviezen op welke wijze worden opgevolgd. Geef daarbij ook aan als adviezen niet worden opgevolgd en met welke reden.

Verantwoording afleggen

  • Leg verantwoording af aan de gemeenteraad middels een jaarrapportage privacy.  Bestuurders willen graag weten waar de organisatie staat en hoe de privacywetgeving wordt nageleefd binnen de gemeente. In de jaarrapportage staat beschreven welke acties en maatregelen er het afgelopen jaar zijn genomen op privacyvlak. Maak deze rapportage ook openbaar voor burgers.
  • Volg als gemeenteraad een privacycursus, gericht op de controlerende functie van de gemeenteraad, zodat gemeenteraadsleden beter weten waar ze op moeten letten als het gaat om privacy.

Ben je benieuwd naar alle onderzoeksresultaten? Lees dan hier het hele rapport.

Conclusie

Gemeenten zijn er nog niet. Maar, inmiddels zijn we weer een jaar verder en hebben gemeenten hopelijk de basis meer op orde. Want, in onze huidige maatschappij is privacy belangrijker dan ooit. Hoe is het gesteld met de privacy bij jou gemeente?

Meer informatie of hulp nodig?

Heb je na het lezen van deze blog vragen of hulp nodig binnen jouw gemeente op dit vlak? Wij kunnen jouw gemeente helpen bij het implementeren van bovenstaande aanbevelingen. Laat ons dit dan weten en neem contact met ons op.  

Erna Havinga
Laatste berichten van Erna Havinga (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.
Meer info

Training

BIO voor applicatiebeheerders

Om een in-house cursus in te plannen, neem contact met ons op!

Ga naar website

Meer blogs lezen

Gemeentelijke privacy: Een blik achter de schermen

De AVG bestaat dit jaar vijf jaar. Sinds 25 mei 2018 moeten alle organisaties, waaronder gemeenten, voldoen aan de verplichtingen uit de AVG bij het verwerken van persoonsgegevens. Maar hoe is het gesteld met de privacy bij gemeenten? Hebben ze de…
Verder lezen

Hoe zet je Artificial Intelligence (AI) succesvol in?

Gemeenten maken steeds meer gebruik van AI, omdat dit ontzettend veel kansen biedt. Tegelijkertijd roept het gebruik van AI ook nieuwe vragen op. Je leest er meer over in deze blog
Verder lezen

Een DPIA uitgevoerd en dan?

Voor gegevensverwerkingen met een hoog privacyrisico geldt dat je een DPIA moet uitvoeren. Maar wat doe je met de uitkomsten van een DPIA en hoe zorg je ervoor dat een DPIA geen eenmalige actie is maar over een bepaalde tijd herhaald wordt?
Verder lezen

Hoe krijg je informatiebeveiliging op de bestuurstafel?

Het ambtelijk bestuur is eindverantwoordelijk voor informatiebeveiliging. Het is dus belangrijk dat zij een goed beeld hebben van de risico’s die informatiebeveiliging met zich mee brengt. Maar hoe krijg je als lijnmanager of CISO informatiebeveil…
Verder lezen

Hoe voer je een DPIA uit?

Het uitvoeren van een DPIA is soms niet eenvoudig. In deze blog lees je daarom wat een DPIA precies is, wanneer je een DPIA uitvoert en welke stappen daarbij worden doorlopen.
Verder lezen

Klaar voor actie: De rol van workshops in het voorbereiden van calamiteitenteams

Het uitvallen van belangrijke ICT-voorzieningen kan leiden tot een verstoring van de gemeentelijke dienstverlening. Vanuit de BIO is het inrichten van bedrijfscontinuïteit daarom verplicht. Maar wat is bedrijfscontinuïteit precies en hoe zorg je d…
Verder lezen
Biblio

Blog artikelen

Nieuwsberichten

Downloads

Diensten

BIO - AVG - ENSIA

Bewustwording

Detachering

Over IB&P

Lees ons boek

CISO Pioniers

Privacy Pioniers

Contact

Copyright © 2014 - 2021 IB&P B.V.
algemene voorwaarden - privacyverklaring.
responsible disclosure - sitemap