AP geeft handreiking aan gemeenteraadsleden over privacy

Lege stoelen en en microfoons in een vergaderzaal

De Autoriteit Persoonsgegevens (AP) heeft woensdag een notitie gepubliceerd speciaal voor gemeenteraadsleden. Deze is bedoeld voor leden die het college van burgemeester en wethouders (B&W) moeten controleren, maar geen of weinig tijd hebben om zich te verdiepen in Europese privacywetgeving. Met dit document zijn ze in no-time op de hoogte van de belangrijkste punten en kunnen ze gericht vragen stellen.

De handreiking ‘Gemeenten en privacy: wat kunt u als raadslid doen?’ is te vinden op de website van de toezichthouder.

Gemeenten zijn enorme dataverzamelaars

De gemeente is de politieke instantie die het dichtst bij de burger staat. Ze zorgt ervoor dat het huisvuil wordt opgehaald, dat de straten er netjes en opgeruimd bij liggen en reiken identiteitsbewijzen en vergunningen uit. Gemeenten moeten er tevens voor zorgen dat dat Basisregistratie Personen (BRP) op orde is en dat inwoners de zorg krijgen die zij nodig hebben. Het maakt daarbij niet uit of het om een schoonmaakhulp gaat, of een rollator voor iemand die slecht ter been is.

Om hun taken en zorgplicht goed uit te kunnen voeren, verwerken gemeenten heel wat persoonsgegevens. Niet zomaar gegevens, maar vaak zeer persoonlijke en privacygevoelige data. Bijvoorbeeld over je inkomen, mentale en fysieke gezondheid, en woonsituatie. Het is belangrijk dat deze gegevens zorgvuldig worden bewaard.

Helaas zijn er genoeg praktijkvoorbeelden waar de beveiliging niet op orde was. In de gemeenten Borger-Odoorn, Coevorden en Emmen hadden hackers toegang tot e-mailaccounts van vier medewerkers. Daarbij zijn mogelijk de gegevens van 7.000 inwoners ingezien dan wel gestolen. In de Gelderse gemeenten Buren en Neder-Betuwe wisten hackers 5 TB aan gevoelige informatie te stelen. En na een datalek in Apeldoorn was de gemeente genoodzaakt om de website van de Stadspas offline te halen.

Drie relevante vragen voor raadsleden over privacy

Raadsleden hebben de verantwoordelijkheid om het college van B&W te controleren. Niet alleen ten aanzien van het gemeentebeleid, maar ook als het gaat om de opslag en verwerking van persoonsgegevens. Maar we kunnen niet van iedere burger verwachten dat hij of zij een expert is op het gebied van privacy en alle ins and outs kent van de Algemene Verordening Gegevensbescherming (AVG).

Hoe zorg je er dan als gemeenteraadslid voor dat je jouw controlerende taak naar behoren kunt uitoefenen? Voor die mensen heeft de Autoriteit Persoonsgegevens een leidraad ontwikkeld. Daarin beschrijft de toezichthouder hoe raadsleden de burgemeester en wethouders kunnen aanspreken op hun rol als verwerkingsverantwoordelijke.

In essentie zijn er drie vragen die relevant zijn om een oordeel te vellen over hoe de gemeente gegevens verwerkt:

  • Wie is verantwoordelijk?
  • Waarom is het noodzakelijk?
  • Hoe zijn betrokkenen geïnformeerd?

Hier draait het om bij deze vragen

De eerste vraag gaat over de verplichtingen die het verwerken van persoonsgegevens met zich meebrengt. Meestal is de gemeente zelf verantwoordelijk voor de verwerking van deze data, omdat zij haar gemeentelijke taken uitvoert. Soms zijn er meerdere partijen bij betrokken, bijvoorbeeld als meerdere gemeenten of commerciële partijen met elkaar samenwerken.

Waarom de gemeente bepaalde gegevens nodig heeft, is het onderwerp van de tweede vraag. Artikel 5.1 (c) van de AVG legt het beginsel van dataminimalisatie vast. Dat houdt in dat instanties alleen die gegevens mogen verwerken die noodzakelijk zijn om een dienst aan te bieden. Met andere woorden, de gemeente moet kunnen uitleggen en aantonen waarom ze persoonsgegevens nodig heeft. Raadsleden kunnen informeren naar de juridische grondslag waarop deze data worden verzameld.

De derde en laatste vraag gaat over transparantie en communicatie. Gemeenten moeten actief communiceren over het gebruik van persoonsgegevens. Zo weten burgers precies wat de gemeente met hun gegevens doet. Tevens moeten gemeenten hun inwoners wijzen op hun rechten, zoals het recht op inzage en het recht op correctie van persoonsgegevens. Dit gebeurt in de praktijk nog te weinig, zo constateert de Autoriteit Persoonsgegevens. Raadsleden hebben dus een grote verantwoordelijkheid op dit gebied.

Vraag door bij onduidelijkheid

De toezichthouder heeft tot slot nog één tip voor (aankomende) gemeenteraadsleden. “U stelt deze vragen aan de verantwoordelijke wethouder binnen het college van burgemeester en wethouders. Als u geen of een onduidelijk antwoord krijgt, vraag dan door. Het vaststellen van feiten is namelijk essentieel om er (mede) voor te zorgen dat persoonsgegevens in uw gemeente rechtmatig worden verwerkt.”

De volledige tekst van de handreiking vind je op deze pagina (PDF).

Techredacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen