Privacy en AVG

De gemeente Rotterdam verwerkt veel persoonsgegevens van Rotterdammers en andere burgers, ondernemers en medewerkers. Soms zijn die privacygevoelig, zoals financiële en bijzondere gegevens. Daar gaat de organisatie zorgvuldig mee om.
De digitalisering maakt het werk eenvoudiger en efficiënter, én de dienstverlening aan de Rotterdammer beter. Er zijn ook risico’s voor de privacy van burgers en medewerkers. Eind 2020 gebruikte de gemeente bij 461 processen en deelprocessen persoonsgegevens. De AVG (Algemene Verordening Gegevensbescherming) is in 2018 ingevoerd om deze gegevens te beschermen.

Binnen de organisatie is het steeds vanzelfsprekender om privacyaspecten mee te wegen in nieuwe processen. Aan de basis van de AVG liggen wettelijk verplichte instrumenten. Het zijn het register van verwerkingen, de DPIA (Data Protection Impact Assessment), verwerkersovereenkomsten met externe bedrijven die namens de gemeente gegevens verwerken, een datalekkenregister en een proces voor de rechten van betrokkenen. Het overgrote deel daarvan is voor mei 2021 zijn afgerond. Dat is het fundament waarop Rotterdam verder bouwt.
In 2021 en daarna is de focus gericht op Privacy by design: vanaf het begin rekening houden met privacyvoorwaarden bij de inrichting van processen en systemen. Verder spelen de digitaliseringsagenda, het gebruik van algoritmen, gegevensdeling en de gevolgen van nieuwe wetgeving. De ontwikkelingen volgen elkaar snel op en er kan steeds meer, maar steeds weer zal het college de privacyrisico’s daarin zorgvuldig afwegen.

Dat druk van buitenaf die afweging soms moeilijk maakt, bleek uit het incident met de MCA’s (mobiele camera auto’s) voor de handhaving van de coronamaatregelen. Dit leidde tot vragen vanuit de raad. Dergelijke incidenten laten zien hoe raadzaam het is tijdig een DPIA uit te voeren. Het bewustzijn van privacyrisico’s in het dagelijks werk groeit dan ook, mede door de interne Blijf Alert! Campagne. De e-learning informatieveiligheid en privacy is beschikbaar voor alle medewerkers. Daarnaast is er een verdiepende module voor de medewerkers die intern ambassadeur zijn.

Datalekken
Een datalek is een incident waarbij persoonsgegevens mogelijk of daadwerkelijk in handen zijn gekomen van onbevoegden. Dat kan bijvoorbeeld door een verkeerd geadresseerde brief of e-mail. In 2020 zijn er 190 datalekken gemeld waarvan 69 bij de Autoriteit Persoonsgegevens (AP). 

Met een verschil van drie (193 datalekken in 2019) is het aantal datalekken ongeveer gelijk gebleven. De jaarlijkse groei van het aantal meldingen is er dus uit. Een verklaring daarvoor is niet eenvoudig te vinden. Het aantal werkelijke datalekken is waarschijnlijk groter dan het aantal dat gemeld wordt. Reden om blijvend aandacht aan bewustwording te schenken.

Recht van betrokkenen
De AVG biedt burgers de mogelijkheid om inzage in de eigen persoonsgegevens te krijgen. In 2020 zijn 153 verzoeken ingediend om het inzagerecht uit te oefenen. In 2019 waren dit 148 verzoeken. Ook hier blijft het aantal dus ongeveer gelijk.

De snelheid van afhandeling is verbeterd: ruim driekwart van de aanvragen wordt binnen een maand afgehandeld. In 2019 was dat nog 40%.