In 2022 is de toepassing van de AVG meer en meer een vanzelfsprekend onderdeel bij de inrichting van werkprocessen waarbij persoonsgegevens worden gebruikt. In de eerste fase na de invoering van de AVG lag de nadruk vooral op de invoering van de wettelijk verplichte instrumenten, zoals het register van verwerkingen, de verwerkersovereenkomsten met externe partijen, en het DPIA (Data Protection Impact Assessment). Het DPIA is een onderzoek naar de privacyrisico’s van een bepaalde verwerking en de maatregelen die nodig zijn om die te verkleinen. Inmiddels heeft de organisatie daarmee een robuust instrumentarium om de privacyrechten van burgers beter te beschermen. De komende periode werkt de organisatie aan verdere verbetering van onderliggende procedures en processen. Het doel is bijvoorbeeld datalekmeldingen, DPIA’s en het proces voor AVG-verzoeken efficiënter te laten verlopen. Het aantal DPIA’s bedroeg, op 1 mei 2022, 163.

Uitdagingen

De afgelopen jaren is de advisering over privacy en AVG verder geprofessionaliseerd. De uitdagingen zijn ook voor de komende jaren groot. De aanpak van maatschappelijke problemen betekent vaak iets voor de privacy van betrokken burgers. Privacybeleid moet daarop aansluiten én worden nageleefd. Ondertussen digitaliseert de samenleving in sneltreinvaart. Dat brengt nieuwe uitdagingen met zich mee. De komende jaren moet de gemeentelijke organisatie daarop anticiperen. Het gebruik van algoritmes en kunstmatige intelligentie, en het datagedreven werken stellen de organisatie in staat beter en efficiënter te werken. Ook het meer delen van gegevens in het sociale domein kan bijdragen aan de oplossing van maatschappelijke problematiek. Dat brengt echter ook risico’s met zich mee voor de privacy van bewoners. Daaraan dragen verschillende acties bij: goede kaders en richtlijnen, transparantie, en een groter bewustzijn dat privacy een groot goed is en dus bescherming verdient. Daarom zijn er nu kaders voor onder andere het gebruik van algoritmes in ‘Smart city’-toepassingen in de openbare ruimte, en is gestart met een openbaar algoritmeregister.

Datalekken

Bij een datalek zijn persoonsgegevens mogelijk of daadwerkelijk in handen gekomen van onbevoegden. Dat kan bijvoorbeeld door een verkeerd geadresseerde brief of e-mail.

De eerste vier maanden van 2022 werden 75 datalekken gemeld. Daarvan zijn er 25 bij de Autoriteit Persoonsgegevens gemeld. Het aantal meldingen is iets lager in vergelijking met dezelfde periode in 2021.

Een positieve trend is te zien in de daling van het aantal meldingen waarbij gevoelige gegevens, zoals een BSN-nummer, zijn gelekt ten opzichte van dezelfde periode in 2021.

Recht van betrokkenen

Op grond van de AVG kunnen burgers inzage krijgen in hun eigen persoonsgegevens. In de eerste vier maanden van 2022 maakten 46 Rotterdammers gebruik van dit recht.