Privacy en AVG
De gemeente verwerkt vaak persoonsgegevens van Rotterdammers en andere burgers, van ondernemers en van medewerkers. Dat is nodig voor de uitvoering van allerlei wettelijke taken en bevoegdheden van de gemeente. Alle persoonsgegevens vallen onder de Algemene verordening gegevensbescherming (AVG). Deze wet bepaalt hoe bedrijven en overheden met persoonsgegevens moeten omgaan.
In 2021 is de toepassing van de AVG meer dan voorgaande jaren een vanzelfsprekend onderdeel bij de inrichting van werkprocessen. De organisatie hield steeds meer rekening met het privacy-aspect. Of het nu gaat om cameratoezicht, verlening van horecavergunningen of handhaving van de leerplichtwet: in veel gevallen gaat het om gevoelige persoonsgegevens, en moet de gemeentemaatregelen nemen om die gegevens te beschermen. Dat gebeurt door:
- Het bijhouden van het register van verwerkingen. In dit register zijn nu 522 verwerkingen vastgelegd. ‘Verwerkingen’ zijn processen of deelprocessen waarbij de gemeente persoonsgegevens van burgers en medewerkers verwerkt.
- Data Protection Impact Assessments (DPIA’s). Dit zijn analyses van processen met een hoog risico voor de privacy van degenen van wie de gemeente gegevens verwerkt. Het DPIA is een wettelijk verplichte analyse. Op basis daarvan bepaalt de gemeente welke maatregelen nodig zijn om het privacyrisico zo klein mogelijk te houden.
Het aantal DPIA’s steeg van 56 in 2020 naar 152 DPIA’s in 2021. Daarmee zijn de privacyrisico's steeds beter in beeld, zodat het mogelijk is de juiste maatregelen te nemen om de risico’s op privacyschending zo laag mogelijk te houden.
- Het afsluiten van verwerkersovereenkomsten. Telkens als de gemeente een contract afsluit met een bedrijf dat op een of andere manier persoonsgegevens van en voor de gemeente verwerkt, is het verplicht hiervoor een verwerkersovereenkomst te sluiten. Het gaat om zeer uiteenlopende bedrijven, bijvoorbeeld een evenementenbureau dat aanmeldingen voor een event verwerkt, of een softwareleverancier. In de verwerkingsovereenkomst staan afspraken over hoe de verwerker moet omgaan met de persoonsgegevens. Onze gemeente heeft 160 verwerkersovereenkomsten afgesloten. Sommige overeenkomsten gaan over verschillende processen.
- Het bijhouden van een datalekkenregister. Bij een datalek zijn persoonsgegevens mogelijk of daadwerkelijk in handen gekomen van onbevoegden. Dat kan bijvoorbeeld al door een verkeerd geadresseerde brief of e-mail.
In 2021 zijn er 253 meldingen gedaan van een datalek. Daarvan zijn er 66 gemeld bij de Autoriteit Persoonsgegevens. - Aandacht voor bewustwording (awareness). Om datalekken te voorkomen, zijn in 2021 campagnes ingezet om de bewustwording van privacyrisico’s bij medewerkers te vergroten. Ongeveer de helft van de medewerkers heeft eind 2021 de e-learning Privacy en informatiebeveiliging afgerond. Het streven is dit percentage in 2022 omhoog te brengen. Ook is er een aanbod van mini-modules en inzet van andere communicatiemiddelen.
Datatechnologie
De wereld digitaliseert in sneltreinvaart. Digitalisering biedt kansen om maatschappelijke vraagstukken op te lossen en beter beleid te kunnen maken. Ook voor de economische ontwikkeling van de stad is digitalisering steeds belangrijker. Zo omvat het programma ‘Smart cities’ bijvoorbeeld toepassingen als sensoren en camera’s die drukte en verkeersstromen monitoren. De gemeente maakt soms ook gebruik van algoritmen. Daaraan zijn privacyrisico’s verbonden. Dat vraagt van de gemeentelijke organisatie om kaders te stellen en de organisatie zo in te richten dat persoonsgegevens nu en in de toekomst veilig zijn, in opslag en bij verwerking.
Vooruitlopend op kaders en wetgeving vanuit de Europese Commissie en de landelijke overheid is begin 2022 voor het algoritmegebruik een afwegingskader opgesteld. Dit kader gaat na vaststelling door het college naar de gemeenteraad.
Ook aan het programma Datagedreven werken zijn risico’s voor de privacy verbonden. Het programma draagt bij aan een betere dienstverlening voor Rotterdammers. Per aanvraag is het nodig te beoordelen hoe onze gemeente aan de eisen van de privacywetgeving voldoet. Bescherming van persoonsgegevens is daarbij een randvoorwaarde.
Recht van betrokkenen
Op grond van de AVG kunnen bewoners inzage krijgen in hun eigen persoonsgegevens. Het aantal aanvragen hiervoor is in 2021 toegenomen. In 2021 maakten Rotterdammers 336 keer gebruik van hun rechten. Dat was in 2020 nog maar 153. Die toename komt grotendeels door een datalek bij de landelijke GGD's. Na de mediaberichten hierover vroegen 146 Rotterdammers om hun gegevens te wissen. De overige verzoeken gaan vooral om inzage van gegevens.