AP adviseert raadsleden over controle op inzet technologie

Hangslot op een laptop

De Autoriteit Persoonsgegevens heeft een document online gezet waarin ze gemeenteraadsleden adviseert over de inzet van technologie en privacy. Daarnaast geeft de toezichthouder raadsleden advies over privacyaspecten bij samenwerkingsverbanden. Het doel van deze adviezen is om raadsleden beter uit te rusten om kritischer te oordelen over privacygerelateerde zaken bij besluiten van het college van B&W.

Beide documenten zijn te vinden op de website van de Autoriteit Persoonsgegevens.

Kritisch zijn over de inzet van nieuwe technologieën

Gemeenten verwerken veel persoonsgegevens van burgers. Ter ondersteuning maken ze steeds vaker gebruik van innovatieve technologie. “De belofte van technologie is dat gemeenten hun taken sneller of beter kunnen uitvoeren en daarmee de burger beter van dienst kunnen zijn”, aldus de toezichthouder.

De privacywaakhond erkent dat er grote voordelen te behalen zijn door technologie in te zetten. Tegelijkertijd kleven er privacyrisico’s aan. Daarom is het van groot belang dat raadsleden, die de burgemeester en wethouders controleren, kritisch zijn over de inzet van nieuwe technologieën. De Autoriteit Persoonsgegevens stelt dat dit in praktijk vaak nog onvoldoende gebeurt.

Relevante vragen bij inzet technologie en privacy

Om hen bij deze taak te helpen, heeft de toezichthouder drie vragen op een rij gezet die raadsleden bij ieder initiatief waarbij technologie om de hoek komt kijken zouden meten stellen.

1. Wat betekent de inzet van technologie voor de verantwoordelijkheid van gemeenten? Voor gemeenten geldt dat zij vooraf moeten stilstaan bij de vraag of de technologie dusdanig is ontworpen dat hij voldoet aan de Europese privacywetgeving. Dit aspect noemen we ook wel privacy by design. Het college van B&W moet aantonen dat ze hiermee rekening heeft gehouden, en beloven dat ze hier periodiek op zal toezien.

2. Waarom is de inzet van deze technologie noodzakelijk? Gemeenten moeten overtuigend kunnen uitleggen waarom voor een bepaalde (technische) oplossing is gekozen en hoe andere alternatieven zijn overwogen. Het uitvoeren van een Data Protection Impact Assessment (DPIA) of gegevensbeschermingseffectbeoordeling is daarbij noodzakelijk. Dat is een onderzoek waarbij een onafhankelijke partij in kaart brengt hoe een bedrijf of organisatie omgaat met het verwerken van persoonsgegevens. Ze kijkt onder meer welke privacygevoelige data een instantie verzamelt, voor welke doeleinden ze deze gegevens nodig heeft, hoe ze deze informatie verwerkt en of het verwerken van deze gegevens opweegt tegen de inbreuk op privacy.

3. Hoe zijn burgers geïnformeerd over de inzet van technologie? Burgers hebben het recht om te weten wat de gemeente met hun persoonsgegevens doet en waarom. Hierover moeten gemeenten uit eigen beweging inwoners informeren. Volgens de toezichthouder leggen gemeenten nog te vaak niet uit welke persoonsgegevens van burgers zij gebruiken door de inzet van technologie. Ook worden inwoners vaak niet betrokken bij de besluitvorming daarover.

Relevante vragen over samenwerkingsverbanden en privacy

Gemeenten gaan samenwerkingsverbanden aan met uitvoerings- en maatschappelijke organisaties als de politie, woningcorporaties en andere gemeenten. Het doel van deze samenwerkingsverbanden is om maatschappelijke taken goed en efficiënt te verrichten. Een relevante vraag die daarbij speelt is of er persoonsgegevens van burgers worden gedeeld, hoe dat gebeurt en waarom.

Om raadsleden te helpen het college van B&W te controleren of ze voldoende rekening heeft gehouden met de privacy van burgers, heeft de Autoriteit Persoonsgegevens drie vragen opgesteld die ieder raadslid zou moeten stellen.

1. Aan welke samenwerkingsverbanden neemt de gemeente deel? Iedere gemeente heeft de wettelijke plicht om een verwerkingsregister bij te houden. Daarin staat met welke publieke en private partijen de gemeente samenwerkt en welke persoonsgegevens daarbij worden verstrekt. Probleem is dat verwerkingsregisters vaak niet actueel zijn, of onvoldoende tekst en uitleg geven over de aard van een samenwerkingsverband.

2. Heeft de gemeente vooraf onderzocht wat deze mag delen in het samenwerkingsverband? Een gemeente mag alleen persoonsgegevens delen als daarvoor een wettelijke grondslag bestaat. Dat geldt voor ieder samenwerkingsverband. Dit is belangrijk omdat duidelijk moet zijn wie verantwoordelijk is voor de gegevensverwerking. Probleem is dat gemeenten nog te vaak persoonsgegevens delen zonder te onderzoeken of ze dit ook daadwerkelijk mogen doen.

3. Informeert de gemeente burgers over het samenwerkingsverband? Burgers weten vaak niet dat er samenwerkingsverbanden bestaan en dat de gemeente daarbinnen persoonsgegevens deelt. Gemeenten komen hun informatieplicht vaak niet of onvoldoende na. Dan kan ertoe leiden dat burgers niet snappen hoe ingrijpende beslissingen tot stand zijn gekomen. Of hoe ze zich kunnen beroepen op hun rechten.

Aanvulling op eerdere handreiking

De bovenstaande vragen vormen een aanvulling op de handreiking ‘Gemeenten en privacy: wat kunt u als raadslid doen?’, die de Autoriteit Persoonsgegevens afgelopen mei publiceerde. Deze is bedoeld voor raadsleden die het college van B&W moeten controleren, maar geen of weinig tijd hebben om zich te verdiepen in Europese privacywetgeving. Met deze handreiking zijn ze in no-time op de hoogte van de belangrijkste punten en kunnen ze gericht vragen stellen.

Volgens de toezichthouder zijn er drie relevante vragen om een oordeel te vellen hoe een gemeente persoonsgegevens verwerkt:

  • Wie is verantwoordelijk?
  • Waarom is het noodzakelijk?
  • Hoe zijn betrokkenen geïnformeerd?
Techredacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen