Begroting 2024 en Tweede Herziening 2023

Rotterdam: Eén stad

Privacy en AVG Pagina 211

Privacy

De gemeente beschikt over grote hoeveelheden persoonsgegevens. Die zijn noodzakelijk voor de uitvoering van beleid en de dienstverlening aan de burger. Van bijstandsuitkeringen tot cameratoezicht in de openbare ruimte, van wijkteams tot gemeentelijke heffingen, er zijn meer dan 500 processen waarbij de gemeente (gevoelige) persoonsgegevens van burgers verwerkt. De Algemene verordening gegevensbescherming (AVG) voorziet in de bescherming van die gegevens. De gemeente moet de AVG op alle aspecten naleven. Daar hoort bij dat alle medewerkers de nodige verantwoordelijkheid voelen bij het werken met persoonsgegevens. De AVG trad in 2018 in werking. Eind 2022 is de invoering van de AVG in onze organisatie afgerond. In deze invoeringsfase heeft de gemeentelijke organisatie het volledige AVG-instrumentarium ingevoerd, zodat ze het privacyrecht van burgers en medewerkers beter kan beschermen.

Medio 2023:

  • Zijn in het register van verwerkingen de processen vastgelegd waarin de gemeente Rotterdam persoonsgegevens van burgers en ambtenaren verwerkt. Dit register bevat 609 verwerkingen;
  • Zijn er 209 afgeronde Data Protection Impact Assessments (DPIA’s). Elk nieuw proces krijgt een beoordeling of een DPIA nodig is. Een DPIA is een verplichte analyse van processen met een hoog privacyrisico bij de verwerking van gegevens. Op basis van zo’n analyse is het mogelijk gerichte maatregelen te nemen om het risico op privacyschending te verkleinen;
  • Zijn voor 256 processen verwerkersovereenkomsten afgesloten met bedrijven die in opdracht van de gemeente persoonsgegevens verwerken;
  • Houdt de gemeente een datalekkenregister bij. Bij een datalek zijn persoonsgegevens mogelijk of daadwerkelijk in handen gekomen van onbevoegden. Dat kan bijvoorbeeld zijn gebeurd door een verkeerd geadresseerde brief of e-mail. Tussen 1 januari tot 1 augustus 2023 waren er 146 datalekken. Daarvan zijn er 22 gemeld bij de Autoriteit Persoonsgegevens (AP). Ter vergelijking: in dezelfde periode 2022 waren er 130 interne meldingen, waarvan 41 zijn gemeld bij de AP. Het aantal datalekken is dus iets afgenomen.

Uitdagingen en risico's

De afgelopen jaren is de advisering over privacy en AVG verder geprofessionaliseerd. Met de invoering van het plan van aanpak AVG is de basis op orde gebracht.
Ondertussen gaat de digitalisering van de samenleving steeds verder. De gemeentelijke organisatie blijft hierbij niet achter. Datatechnologie en algoritmes helpen om data te analyseren en de dienstverlening aan burgers en ondernemers te verbeteren. Maar aan de datatechnologie en algoritmes zijn ook risico’s verbonden voor de privacy van burgers. Met beleidskaders als de algoritmegovernance en het privacyframework is gezorgd voor de vertaling van de AVG naar spelregels voor algoritmetoepassingen en datagedreven werken. De uitdaging ligt in het vinden van een goede balans tussen privacywetgeving enerzijds en de toenemende inzet van datatechnologie anderzijds.

Ook bij het delen van gegevens in samenwerkingsverbanden met partnerorganisaties, zoals binnen het sociaal domein en het veiligheidsdomein gebeurt, zijn er privacyrisico’s. Overheden en andere betrokken organisaties moeten effectief kunnen samenwerken, zonder de risico’s voor de privacy uit het oog te verliezen. Privacybeleid en de naleving van beleid moeten daarop aansluiten. Daaraan dragen verschillende acties bij: goede kaders en richtlijnen, transparantie en een groter bewustzijn bij opdrachtgevers en medewerkers van de waarde van privacy en privacybescherming. 

De gemeentelijke organisatie legt deze uitdagingen vast in jaarplannen per cluster. Deze komen samen in een concernbreed jaarplan 2024 voor privacy met daaraan gekoppelde acties.