Privacy en AVG

Na de invoering in mei 2018 van de Algemene verordening gegevensbescherming (AVG), is de bescherming van persoonsgegevens steeds vanzelfsprekender een onderdeel van processen waarvoor gegevens van burgers nodig zijn. Op het moment van schrijven van deze begroting zijn dat 535 processen. Van de aanvraag voor een bijstandsuitkering tot een parkeerboete, van cameratoezicht tot handhaving op straat, de gemeente beschikt over veel, en vaak gevoelige, gegevens. Onze organisatie heeft een robuust instrumentarium om het privacyrecht van burgers beter te beschermen.  Die instrumenten zijn beschreven in het Plan van Aanpak AVG dat aan de gemeenteraad is voorgelegd.

De stand van zaken medio 2022:

•           In het register van verwerkingen zijn de processen vastgelegd waarin de gemeente Rotterdam persoonsgegevens van burgers en ambtenaren verwerkt. Daarin staan 535 verwerkingen (halverwege 2022).

•           Het aantal afgeronde DPIA’s (Data Protection Impact Assessment) is 174.  Zo’n 30 DPIA’s zijn nog in uitvoering. Voor elk nieuw proces is een afzonderlijke bepaling nodig of een DPIA nodig is. In de meeste gevallen is dat niet zo. Een DPIA is een verplichte analyse van processen met een hoog privacyrisico voor de betrokkenen van wie de gemeente gegevens verwerkt. Op basis van zo’n analyse is het mogelijk gerichte maatregelen te nemen om het risico op privacyschending te verkleinen.

•           Voor sommige processen waarin persoonsgegevens worden verwerkt  schakelt onze organisatie externe partijen (bedrijven) in. Voor 270 processen zijn verwerkersovereenkomsten afgesloten met bedrijven die in opdracht van de gemeente persoonsgegevens verwerken.

•           Het datalekkenregister. De gemeente houdt een register van datalekken bij. Bij een datalek zijn persoonsgegevens mogelijk of daadwerkelijk in handen gekomen van onbevoegden. Dat kan bijvoorbeeld door een verkeerd geadresseerde brief of e-mail. Van 1 januari tot 1 augustus 2022 zijn er 130 datalekken gemeld. Daarvan zijn er 41 gemeld bij de Autoriteit Persoonsgegevens (AP). Ter vergelijking: in dezelfde periode vorig jaar waren er 160 meldingen waarvan 44 gemeld bij de AP. Het neemt dus iets af.

 

Uitdagingen en risico’s

De afgelopen jaren is de advisering over privacy en AVG verder geprofessionaliseerd. De komende jaren komen er grote uitdagingen op onze gemeente af. De samenleving digitaliseert in sneltreinvaart. Datatechnologie en algoritmes helpen om data te kunnen analyseren en de dienstverlening aan burgers en ondernemers te verbeteren. Maar aan de technologie en algoritmes zijn ook risico’s  verbonden voor de privacy van burgers. Niet voor niets ligt de focus van de Autoriteit Persoonsgegevens op ‘dataprotectie in een digitale samenleving’  De uitdaging ligt in het vinden van een goede balans tussen privacywetgeving enerzijds en de toenemende inzet van datatechnologie anderzijds.

Die uitdaging is er ook bij het delen van gegevens in samenwerkingsverbanden, zoals het sociaal domein en het veiligheidsdomein. Het staat voorop dat overheden en betrokken organisaties effectief moeten kunnen samenwerken, zonder dat ze daarbij de risico’s voor de privacy niet uit het oog verliezen. Privacybeleid en de naleving van dat beleid moeten daarop aansluiten. Daaraan dragen verschillende acties bij: goede kaders en richtlijnen, transparantie en een groter bewustzijn bij opdrachtgevers en medewerkers dat privacy een groot goed is.