De veilige omgang met persoonsgegevens wordt steeds meer een vanzelfsprekend onderdeel bij de inrichting van werkprocessen. Dat is ook nodig. Want of het nu gaat om cameratoezicht, verlening van horecavergunningen of handhaving van de leerplichtwet: de gemeente verwerkt veel en vaak gevoelige persoonsgegevens, en burgers moeten het vertrouwen hebben dat hun gegevens in veilige handen zijn bij de overheid.

Terugkijkend op 2022 zien we daarin weer vooruitgang ten opzichte van eerdere jaren.

De implementatiefase van de AVG, die in 2018 werd ingevoerd, werd in 2022 afgesloten met de herziening en verbetering van alle wettelijk verplichte AVG-instrumenten, zoals het register van verwerkingen, de verwerkersovereenkomsten met externe partijen, en het DPIA (Data Protection Impact Assessment). Daarmee is het plan van aanpak voor de implementatiefase afgerond. Tegelijkertijd zijn er ook steeds weer nieuwe uitdagingen.

 

Datalekken

In 2022 werden 231 meldingen gedaan waarvan er 60 bij de Autoriteit Persoonsgegevens (AP) zijn gemeld.
Verreweg de meeste datalekken ontstaan doordat een email of post bij de verkeerde ontvanger terechtkomt. In 34 gevallen betrof het financiële gegevens, in 28 gevallen een BSN-nummer en 16 keer ging het om bijzondere persoonsgegevens. Dat zijn gegevens over religie, gezondheid, etnische achtergrond, seksuele geaardheid, lidmaatschap van een politieke partij of vakbond, genetische of biometrische kenmerken. Het aantal datalekken is licht gedaald ten opzichte van 2021 (253).

Data Protection Impact Assessments (DPIA’s)

Dit zijn analyses van processen met een hoog risico voor de privacy van degenen van wie de gemeente gegevens verwerkt. Het DPIA is in die gevallen een wettelijk verplichte analyse. Op basis daarvan bepaalt de gemeente welke maatregelen nodig zijn om het privacy-risico zo klein mogelijk te houden. Eind 2021 was het aantal DPIA’s 150 en over 2022 is dat gestegen naar 211 DPIA’s.

Bewustwording (awareness)

Om bewustwording van privacy-risico’s bij medewerkers te vergroten worden verschillende interventies ingezet. Eind 2022 heeft 82% van de medewerkers de e-learning Privacy en informatiebeveiliging afgerond. Ook is er een aanbod van mini-modules en inzet van andere communicatiemiddelen.

Transparantie

Op de website van de gemeente is het register van verwerkingen te vinden. Daarin staan inmiddels ook de samenvattingen van 73 DPIA’s.
Ook is op de website een register met algoritmes geplaatst. Op deze manier hoopt de gemeente zo transparant mogelijk te zijn over het gebruik van persoonsgegevens en het doel daarvan.

Recht van betrokkenen

De AVG zorgt ervoor dat je als burger (tot op zekere hoogte) kunt beschikken over je eigen persoonsgegevens. In 2022 hebben burgers 128 keer gebruik gemaakt van hun rechten, tegenover 336 in 2021. Dit is een flinke daling. De meeste aanvragen betroffen een verzoek om inzage in de persoonsgegevens.

Uitdagingen en risico’s

De samenleving digitaliseert in sneltreinvaart. Datatechnologie en algoritmes helpen om data te kunnen analyseren en om beleid en dienstverlening aan burgers en ondernemers te verbeteren. Maar daar zijn ook risico’s aan verbonden voor de privacy van burgers. Niet voor niets ligt de focus van de Autoriteit Persoonsgegevens op ‘dataprotectie in een digitale samenleving’ en is de AP toezichthouder op het gebruik van algoritmes.

De uitdaging ligt in het vinden van een goede balans tussen privacywetgeving enerzijds en de toenemende inzet van datatechnologie anderzijds.

Samenwerkingsverbanden

Die uitdaging is er ook bij het delen van gegevens in samenwerkingsverbanden, zoals het sociaal domein en het veiligheidsdomein.
Het staat voorop dat overheden en betrokken organisaties effectief moeten kunnen samenwerken, zonder dat ze daarbij de risico’s voor de privacy uit het oog verliezen. Duidelijke kaders en richtlijnen en transparantie dragen bij aan een verantwoord gebruik van datatechnologie.