De gemeente beschikt over gevoelige gegevens van Rotterdammers en medewerkers. Van cameratoezicht, verlening van horecavergunningen, een plan van aanpak voor kwetsbare jongeren of schulddienstverlening. De gemeente heeft hiervoor persoonsgegevens nodig. Hoeveel processen gebruikmaken van persoonsgegevens en welke dat zijn, houdt de gemeente bij in het register van verwerkingen. Dat is ook een verplichting vanuit de AVG (Algemene Verordening Gegevensbescherming). Op die manier houdt de gemeente overzicht en inzicht in de persoonsgegevens waar zij voor verantwoordelijk is. In 2023 kende de gemeente meer dan 600 verwerkingen in het register.
Sommige processen hebben een hoog privacy-risico. Dat betekent dat de impact groot is wanneer de gegevens in verkeerde handen komen. In dat geval is een DPIA (Data Protection Impact Assessment) verplicht. Er zijn nu 248 DPIA’s uitgevoerd op de meest risicovolle processen. In het register van verwerkingen zijn de samenvattingen te lezen.
Het veilig omgaan met persoonsgegevens geldt ook voor de samenwerking met externe partijen. De gemeente heeft met 260 verwerkers overeenkomsten afgesloten die verwerkingen uitvoeren voor of met de gemeente. Afhankelijk van de samenwerkingsrelatie kunnen dat ook convenanten zijn, zoals het RIEC.
Terugkijkend op 2023 is te zien dat de gemeente elk jaar en ook dit jaar stappen vooruitzet. De nog jonge wetgeving – de AVG werd in 2018 ingevoerd – maakt dat privacy als vast onderdeel van de werkprocessen tijd nodig had om een even zwaarwegend onderdeel van de bedrijfsvoering te worden als bijvoorbeeld HR of Financiën. Nu weten de procesverantwoordelijken steeds sneller de weg naar de privacy-officers van de clusters te vinden, voor advies of ondersteuning bij privacy-gerelateerde onderwerpen.
Ook is de governance verbeterd met een gestructureerde sturing op jaarplannen en op privacy-thema’s, zowel op concernniveau als in de clusters.
De basis is dus steeds meer op orde, maar de tijd staat niet stil. Nieuwe ontwikkelingen volgen elkaar snel op. Er komt een pakket aan Europese wet -en regelgeving op gemeenten af die ook gevolgen hebben voor het privacybeleid van de gemeente Rotterdam. De VNG maakt een impactanalyse samen met gemeenten. Ook gemeente Rotterdam doet hieraan mee.
De grote uitdagingen voor de komende jaren zijn:
- Kunstmatige intelligentie en (algoritmes, ChatGTP, etc.)
- Digitale technologie en datagedreven werken
- Cybersecurity
De snelle opmars van de technologie en daarmee de toename van privacyrisico’s is voor de Autoriteit Persoonsgegevens aanleiding om de focus op ‘dataprotectie in een digitale samenleving’ te leggen. De AP is ook toezichthouder op het gebruik van algoritmes wanneer daarvoor persoonsgegevens worden gebruikt.
De uitdaging ligt in het vinden van een goede balans tussen privacywetgeving en de mogelijkheden van datatechnologie.
Datalekken
In 2023 werden 245 meldingen gedaan van datalekken, waarvan er 48 bij de Autoriteit Persoonsgegevens (AP) zijn gemeld. Het aantal datalekken is de afgelopen drie jaar ongeveer gelijk (253 in 2021, 231 in 2022).
Verreweg de meeste datalekken ontstaan doordat e-mail of post bij de verkeerde ontvanger terechtkomt. In 21 gevallen ging het om financiële gegevens, in 28 gevallen een BSN-nummer en 10 keer om bijzondere persoonsgegevens. Dat zijn gegevens over religie, gezondheid, etnische achtergrond, seksuele geaardheid, lidmaatschap van een politieke partij of vakbond, genetische of biometrische kenmerken. Alle overige datalekken betroffen algemene persoonsgegevens (zoals naam, adres, kenteken etc.). De gemeente evalueert datalekken na afloop met de betrokkenen, zodat de organisatie daarvan leert en de juiste maatregelen kan nemen. Maar met miljoenen brieven en e-mails per jaar is een datalek nooit helemaal uit te sluiten.
Bewustwording (awareness)
Om bewustwording van privacy-risico’s bij medewerkers te vergroten zet de organisatie verschillende interventies in. Zo zijn er verschillende e-learnings over Privacy en informatiebeveiliging. Ook is er een aanbod van mini-modules en inzet van andere communicatiemiddelen zoals workshops, de cybersecuritymaand met een talkshow, en doen de clusters veel om (nieuwe) leidinggevenden en medewerkers goed te informeren over hoe veilig om te gaan met persoonsgegevens.
Transparantie
Naast de privacyverklaring staat op de website van de gemeente ook het register van verwerkingen en een register met algoritmes.
Clusters geven ook specifieke informatie over verwerkingen, zoals bij Werk en Inkomen en bij cameratoezicht. Op deze manier hoopt de gemeente zo transparant mogelijk te zijn over het gebruik van persoonsgegevens en het doel daarvan.
Recht van betrokkenen
De AVG zorgt ervoor dat burgers (tot op zekere hoogte) kunnen beschikken over hun eigen persoonsgegevens. In 2023 hebben burgers 123 keer gebruik gemaakt van hun rechten, tegenover 135 in 2022 en 336 in 2021 (in dat jaar vond het landelijke bij de GGD’s plaats dat tot veel AVG verzoeken leidde). De meeste aanvragen waren een verzoek om inzage in de persoonsgegevens.