Privacy en AVG
De gemeente Rotterdam kent vanuit haar wettelijke taken en bevoegdheden veel processen waarbij persoonsgegevens van Rotterdammers (en andere burgers), ondernemers en medewerkers worden verwerkt. Soms zijn die privacygevoelig, zoals financiële en bijzondere gegevens. Er zijn binnen de gemeentelijke organisatie 513 (deel)processen waarbij persoonsgegevens gebruikt worden. Die vallen onder de AVG (Algemene Verordening Gegevensbescherming), de wet die bepaalt hoe bedrijven en overheden met persoonsgegevens om moeten gaan.
Hoe gaat het nu met de AVG? Drie jaar na de invoering is er een fundament gelegd waarin de basis steeds meer op orde is. Dat zien we terug in:
- het register van verwerkingen. Hierin zijn de processen vastgelegd waarin persoonsgegevens van burgers en ambtenaren worden verwerkt. Daarin staan nu 513 verwerkingen;
- het aantal uitgevoerde DPIA's (Data Protection Impact Assessment) is nu 134. Nog 18 DPIA’s moeten worden afgerond. Voor nieuwe processen moet afzonderlijk bepaald worden of een DPIA nodig is. Een DPIA is een verplichte analyse voor de processen met een hoog privacyrisico voor de betrokkenen van wie de gegevens verwerkt worden. Daarmee kunnen maatregelen worden genomen om het risico te verkleinen;
- het aantal verwerkers waarmee een overeenkomst is afgesloten. Voor 283 processen zijn verwerkersovereenkomsten afgesloten met partijen die in opdracht van de gemeente persoonsgegevens verwerken;
- het datalekkenregister. De gemeente houdt een datalekkenregister bij. Bij een datalek zijn persoonsgegevens mogelijk of daadwerkelijk in handen gekomen van onbevoegden. Dat kan bijvoorbeeld door een verkeerd geadresseerde brief of e-mail. Van 1 januari tot 1 augustus 2021 zijn er 158 datalekken gemeld. Daarvan zijn er 40 gemeld bij de Autoriteit Persoonsgegevens.
Om datalekken te voorkomen zet ons college met gerichte campagnes ook de komende periode in op bewustwording bij medewerkers. Dit gebeurt onder meer door een e-learning module voor alle medewerkers.
Inzet de komende jaren
Nu de basis voor de privacybeveiliging is gelegd, richt ons college zich steeds meer op andere speerpunten. Tegelijkertijd zal die basis ook de komende jaren veel inspanning vragen om die volledig op orde te houden. Zo komen er steeds nieuwe processen bij waarin persoonsgegevens worden verwerkt. Dit vraagt tegelijkertijd dat de informatiehuishouding op orde is, zodat alle processen en informatie geordend wordt beheerd, vindbaar is, compleet en herbruikbaar.
De wereld digitaliseert in sneltreinvaart. Digitalisering biedt kansen om maatschappelijke vraagstukken op te lossen. Het beheer van de buitenruimte is een van de aspecten waar digitalisering steeds belangrijker is. Een voorbeeld is het project ‘Smart cities’, met toepassingen als sensoren en camera’s die drukte en verkeersstromen monitoren. Ook maakt de gemeente gebruik van algoritmen. Dergelijke ontwikkelingen gaan snel. Daar kleven risico’s aan, zo blijkt uit het rapport van de Rotterdamse Rekenkamer. De Europese Commissie werkt aan kaders en wetgeving om het gebruik van algoritmen een betere wettelijke basis te geven. Hier ligt ook een belangrijke taak voor onze gemeente. Dat vraagt om een organisatie die de ontwikkelingen in de digitalisering volgt en daarop anticipeert. Dat doet onze gemeente door kaders te stellen en de organisatie zo in te richten dat persoonsgegevens nu en in de toekomst veilig zijn, in opslag en bij verwerking.
Samenwerkingsverbanden
Dat er veel verandert geldt ook voor samenwerkingsverbanden waarin persoonsgegevens gedeeld worden zoals het sociaal domein en het Veiligheidshuis. Steeds zal een zorgvuldige afweging moeten worden gemaakt wanneer gegevens rechtmatig gedeeld kunnen worden, met oog voor de risico’s voor privacy, discriminatie en stigmatisering. Nieuwe wetgeving is op handen, zoals de Wgs (wet gegevensverwerking door samenwerkingsverbanden) en de WAMS (Wetsvoorstel Aanpak meervoudige problematiek sociaal domein). Op basis van deze kaders blijft telkens een afweging nodig over nut en noodzaak om gegevens veilig te delen. De Autoriteit Persoonsgegevens heeft voor de komende jaren gegevensdeling als een van de speerpunten benoemd. De gegevensdeling binnen het sociaal domein is dan ook een aandachtspunt voor de komende jaren.
Privacy by design
Om de privacyrisico’s aan het begin van elk nieuw proces mee te nemen, zet ons college in op Privacy by design. Dit is vastgelegd in de AVG en voorziet erin dat de organisatie ieder proces, systeem of applicatie bij de start zo inricht dat het automatisch rekening houdt met privacy-aspecten. De basis hiervoor is een geordende informatiehuishouding en het informatiebeheerplan waar alle risicoclassificaties zijn opgenomen per proces en/ of taak.
Recht van betrokkenen
Bewoners kunnen op basis van de AVG inzage krijgen in hun eigen persoonsgegevens. Het aantal aanvragen hiervoor is toegenomen. In totaal zijn in juli 2021 263 verzoeken ingediend. De toename komt grotendeels door een datalek bij de landelijke GGD's. Nadat hierover berichten in de media waren verschenen, hebben 130 Rotterdammers gevraagd hun gegevens te wissen. De overige verzoeken gaan vooral om inzage van gegevens. Door het hoge aantal en de complexiteit van een deel van deze aanvragen, liep de afhandelingstermijn op.