Voorjaarsnota 2023

Rotterdam: Eén stad

Privacy en AVG Pagina 208

Privacy

Ook het afgelopen jaar zijn weer stappen gezet in het privacybeleid van de gemeente. Bij medewerkers is een groeiend bewustzijn dat de organisatie beschikt over veel en vaak gevoelige gegevens van burgers. En dat die gegevens veilig moeten zijn, juist bij de overheid.

Eind 2022 is het plan van aanpak afgerond en zijn procedures, zoals rechten van betrokkenen en protocol datalekken, geëvalueerd en vastgelegd.

Ook zijn bijna alle DPIA’s afgerond. Een DPIA is een onderzoek naar de privacyrisico’s van een bepaalde verwerking van gegevens en beschrijft de maatregelen die nodig zijn om die risico’s te verkleinen. Ook dat is een mooi resultaat, waarbij wel aandacht nodig is voor de uitvoering in de praktijk.
Hiermee is een belangrijke stap gezet om privacyrisico beter in de hand te hebben. Nu de basis voor een groot deel op orde is, komt er ruimte om een strategische visie op privacy te ontwikkelen voor de langere termijn.

Uitdagingen

De gemeente heeft flinke ambities als het gaat om datagedreven werken. Door hergebruik van gegevens kan de gemeente veel kennis vergaren op allerlei terreinen. Datatechnologie, zoals algoritmes, helpt de gemeente om met data het beleid en de dienstverlening aan Rotterdammers te verbeteren. Een deel van die data zijn persoonsgegevens. Het gebruik daarvan geeft privacyrisico’s, bijvoorbeeld op het ontstaan van een datalek.

Voor hergebruik van persoonsgegevens gelden daarom binnen de AVG specifieke regels. Die regels vertaalt de gemeente naar een beleidskader voor verantwoord gebruik van persoonsgegevens bij datagedreven werken. Dat beleidskader is ook van toepassing op algoritmes. Rondom het gebruik van algoritmes gelden ook aanvullende maatregelen, zoals een ethische toetsing en extern toezicht door een Algorithm Advisory Board (AAB), met experts van buiten de gemeente.

Voor Rotterdammers is het belangrijk dat transparant is waarvoor de gemeente hun gegevens gebruikt. Het algoritmeregister en het register van verwerkingen staan op de gemeentelijke website en worden regelmatig aangevuld. Inmiddels staan er 76 samenvattingen van DPIA’s in het register.