Privacy en AVG

Op 25 mei 2021 was de AVG (Algemene Verordening Gegevensbescherming) precies drie jaar in werking. Het is in deze drie jaren steeds vanzelfsprekender geworden om privacyaspecten mee te wegen in nieuwe gemeentelijke processen. Aan de basis van de AVG liggen een aantal wettelijk verplichte instrumenten:

  • het register van verwerkingen
  • de DPIA (Data Protection Impact Assessment)
  • de verwerkersovereenkomst met externe partijen die gegevens verwerken namens de gemeente
  • het datalekkenregister
  • een proces voor de rechten van betrokkenen.

Inmiddels is het overgrote deel van deze instrumenten gerealiseerd. Dat is van groot belang, want met de snel toenemende mogelijkheden van datatechnologie nemen de risico’s voor de privacy van burgers en medewerkers toe.

In 2021 en volgende jaren ligt de focus op ‘Privacy by design’, het gebruik van algoritmen, gegevensdeling en de gevolgen van nieuwe wetgeving. Bij Privacy by design gaat het erom processen en systemen vanaf het begin zo in te richten dat medewerkers meteen rekening houden met de privacyvoorwaarden van dat proces of systeem.

De Digitale Overheid is een belangrijk thema. De gemeentelijke doelstellingen zijn beschreven in de digitale stad.
Datatechnologie helpt de gemeente om oplossingen te vinden voor een grote verscheidenheid aan vraagstukken, bijvoorbeeld bij mobiliteit, veiligheid en dienstverlening. Ook cameratoezicht is zo’n terrein. Aan datatechnologie zijn privacyrisico’s verbonden. Dat is een goede reden om te focussen op de volgende ontwikkelingen:

  • Het gebruik van datatechnologie voor Smart Cities, Datagedreven werken
  • Samenwerkingsverbanden waarin gegevens gedeeld worden (denk aan het Sociaal domein en Veiligheidshuis)
  • Databeveiliging
  • Het gebruik van algoritmes, etc.

Naast het interne toezicht daarop door de Functionaris Gegevensbescherming (FG) is er extern toezicht. De AP richt zich in haar toezichthoudende rol onder meer op de digitale overheid, samenwerkingsverbanden/ ongeoorloofd delen, artificiële intelligentie & algoritmes en het stelsel van toezicht.

Zo loopt er een verkennend onderzoek van de Autoriteit Persoonsgegevens bij gemeentes waaronder Rotterdam naar de ontwikkelingen voor Smart Cities en de manier waarop gemeenten in dat verband omgaan met de privacy van bewoners en bezoekers.

Datalekken

De gemeente verwerkt jaarlijks heel veel gegevens. Daarbij gaat er weleens iets mis en ontstaat er een datalek. Een datalek is een incident waarbij persoonsgegevens (mogelijk) in handen zijn gekomen van onbevoegden. Het kan bijvoorbeeld gaan om een verkeerd geadresseerde brief of e-mail. In het eerste kwartaal van 2021 waren er circa 80 meldingen, waarvan er 15 datalekken zijn gemeld bij de Autoriteit Persoonsgegevens (AP). Het aantal meldingen is ongeveer gelijk aan het aantal meldingen in het eerste kwartaal van 2020. Het bewustzijn van privacyrisico’s in het dagelijks werk blijft een belangrijk aandachtspunt. Dit bewustzijn groeit, mede door de interne Blijf Alert! Campagne. De e-learning informatieveiligheid en privacy is beschikbaar voor alle medewerkers. Daarnaast is een verdiepende module ontwikkeld en aangeboden aan de ‘ambassadeurs’. Nu de medewerkers door de coronamaatregelen veel meer thuiswerken, is ingezet op het aanbod van filmpjes, zoals het filmpje met ‘de 10 gouden geboden’ voor veilig thuiswerken.

Incidenten laten zien dat de gemeente er nog niet is als het gaat om de veiligheid van persoonsgegevens. Een belangrijk middel om privacyrisico’s te verminderen is het tijdig uitvoeren van een DPIA (Data Protection Impact Assessment). Een grondige analyse van de risico’s van een gegevensverwerking leidt tot een aanzienlijk kleinere kans op datalekken. Het aantal DPIA's op risicovolle verwerkingen is gestegen van 56 eind 2020 naar 115 aan het eind van het eerste kwartaal 2021.

Recht van betrokkenen

De AVG biedt burgers de mogelijkheid om inzage in de eigen persoonsgegevens te krijgen. In het eerste kwartaal van 2021 was er een flinke stijging van het aantal AVG-verzoeken van burgers ten opzichte van voorgaande kwartalen. Dit komt door het grote datalek bij de GGD’s in januari. Dat leidde tot veel verzoeken tot verwijdering van gegevens. In april waren er al 190 verzoeken ingediend, waarvan 177 de GGD betroffen. Bij 117 verzoeken ging het om de vraag gegevens te verwijderen. Ter vergelijking: in heel 2020 werden 142 AVG-verzoeken ingediend; dat waren voor het overgrote deel vragen om inzage en slechts vier verzoeken om verwijdering. Door de aantallen en moeilijkheid van de aard van de verzoeken duurt de afhandeling nu langer dan in 2020.