Grote gemeenten leven privacywetgeving niet na

Hangslot op een laptop

Vier ja na de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) voldoen veel gemeenten nog altijd niet aan de Europese privacywetgeving. Zo is de gegevenshuishouding veelal niet op orde, wat inhoudt dat lokale overheidsorganisaties niet weten welke data ze verwerken en waarom. Tevens worden er onvoldoende middelen vrijgemaakt voor gegevensbescherming. Er is nog veel werk aan de winkel om alles op orde te brengen.

Dat blijkt uit onderzoek van Bits of Freedom onder de grootste gemeenten van Nederland.

Over het onderzoek van Bits of Freedom

Woensdag is het precies vier jaar geleden dat de AVG in werking trad. Het doel van de Europese privacyregels was om ervoor te zorgen dat bedrijven en organisaties beter verantwoording zouden afleggen over de manier waarop ze met persoonsgegevens omgaan. Burgers zouden tevens meer controle en zeggenschap over hun persoonlijke gegevens krijgen. Zo is onder meer het recht op inzage (artikel 15) en het recht op vergetelheid (artikel 17) vastgelegd in de AVG.

Bits of Freedom was benieuwd of gemeenten zich aan deze wet- en regelgeving houden. Daarvoor keek de burgerrechtenorganisatie naar de tien grootste gemeenten van Nederland: Amsterdam, Rotterdam, Den Haag, Utrecht, Eindhoven, Groningen, Tilburg, Almere, Breda en Nijmegen. Gezamenlijk verwerken deze gemeenten de persoonsgegevens van 3,8 miljoen Nederlanders.

Bits of Freedom diende bij de hierboven genoemde gemeenten een Wob-verzoek in. Daarin vroeg de organisatie om alle rapportages van de Functionaris Gegevensbescherming (FG) van 2017 tot heden op te sturen. Tevens wilde de belangenorganisatie alle rapporten over informatiebeveiliging inzien.

Basis gegevenshuishouding niet op orde

Dit resulteerde in een onderzoeksrapport (PDF) dat 30 pagina’s telt. Beleidsadviseur bij Bits of Freedom Nadia Benaissa constateert dat er vier jaar na de invoering van de AVG nog veel te wensen overlaat bij gemeenten. Om te beginnen is de basis van de gegevenshuishouding bij de meeste gemeenten niet op orde. Verwerkingsregisters zijn niet compleet en actueel. Gemeenten hebben hierdoor geen idee welke gegevens ze verwerken, met welk doel en of dit rechtmatig gebeurt of niet. “Zonder goed overzicht kunnen gemeenten niet goed inschatten wat mogelijke risico’s zijn voor burgers”, schrijft Benaissa.

Gemeenten staan te springen om nieuwe technologieën als algoritmes uit te proberen. Dat is onverstandig als de basis niet op orde is. Gegevens zijn immers niet gecontroleerd op rechtmatigheid, betrouwbaarheid en actualiteit. Het is dus mogelijk dat onrechtmatige of onjuiste data worden gebruikt door algoritmen, wat op zijn beurt schadelijk kan uitpakken voor burgers.

Gemeenten kampen met capaciteitsprobleem

Verder constateert Bits of Freedom dat AVG-rechten als het recht op inzage niet serieus worden genomen door gemeenten. Een meerderheid van de gemeenten legt niet actief verantwoording af over het gevoerde privacybeleid en informatiebeveiliging. Rapportages van de FG worden vaak niet gedeeld met de gemeenteraad.

Tot slot is er bij vrijwel bij alle gemeenten sprake van een capaciteitsprobleem doordat er te weinig middelen worden vrijgemaakt voor gegevensbescherming. “Dit wekt de indruk dat verantwoordelijke bestuurders en directies dit onvoldoende prioriteren. Zonder capaciteit en middelen, kunnen er ook geen stappen gezet worden om de AVG alsnog naar behoren na te leven”, aldus Bits of Freedom.

Positieve ontwikkelingen

Er zijn echter ook een aantal positieve ontwikkelingen waar gemeenten van kunnen leren. De gemeente Rotterdam volgt de adviezen van de toezichthouder op, waardoor ze steeds beter voldoen aan de AVG. De gemeente Utrecht scoorde het hoogst op de onderdelen die Bits of Freedom onderzocht. “Dat lijkt te komen doordat het onderwerp serieus genomen wordt en er voldoende tijd en middelen voor vrijgemaakt worden om de rechten van burgers te beschermen”, schrijft de burgerrechtenbeweging.

Dit zijn de belangrijkste aanbevelingen

In het rapport doet de belangenorganisatie een reeks aan aanbevelingen om de naleving van de AVG te verbeteren. Het up-to-date houden van het verwerkingsregister is niet een eenmalige klus, maar een doorlopend proces. Ambtenaren moeten daarbij kritisch kijken welke verwerkingen noodzakelijk en rechtmatig zijn, of dat er beter mee gestopt kan worden.

Nieuwe technologieën inzetten om ‘datagedreven werken’ te introduceren is geen goed idee als de basis nog niet op orde is. Tevens adviseert Bits of Freedom om het proces voor AVG-verzoeken van burgers zo in te richten dat glashelder is wie welke verantwoordelijkheden heeft. Verder moeten gemeenten voldoende middelen vrijmaken om gegevensbescherming en informatiebeveiliging te verbeteren.

Tot slot is het de verantwoordelijkheid van gemeenten om verantwoording af te leggen tegenover de gemeenteraden. Deel AVG-rapportages en de reacties daarop en maak deze openbaar, zowel voor raadsleden als burgers. De FG moet goed gepositioneerd zijn in de organisatie zodat hij zijn taken onafhankelijk kan uitvoeren. Bits of Freedom raadt tevens een AVG-cursus voor raadsleden aan. De Autoriteit Persoonsgegevens publiceerde onlangs een handreiking over dit onderwerp. Deze was speciaal ontwikkeld voor raadsleden.

Techredacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen