De tien grootste gemeenten houden zich nog steeds niet aan de privacywet AVG. Dat blijkt uit onderzoek van privacywaakhond Bits of Freedom. Vier jaar na het ingaan van de wet scoren de meeste gemeenten een onvoldoende,
Op 25 mei 2018 trad de Algemene Verordening Gegevensbescherming (AVG) in werking. Deze nieuwe wet verving de Wet Bescherming Persoonsgegevens. Er kwamen meer regels voor organisaties die moesten zorgen dat zij beter verantwoording zouden afleggen over de manier waarop ze omgaan met persoonsgegevens. Ook moest de privacywet meer zeggenschap en controlemogelijkheden geven aan mensen.
BoF ging ma hoe goed de wet in de praktijk werkt en deed onderzoek onder gemeentes. Dat zijn bij uitstek dé organisaties die veel verschillende en heel gevoelige persoonsgegevens verwerken van burgers, vaak zonder dat zij daar een keuze in hebben. Gemeenten mogen en moeten persoonsgegevens namelijk vaak verwerken op grond van een wettelijke taak of plicht.
De tien grootste gemeentes van Nederland gingen onder de loep. Dat zijn Amsterdam, Rotterdam, Den Haag, Utrecht, Eindhoven, Groningen, Tilburg, Almere, Breda en Nijmegen. Ten eerste omdat deze tien bij elkaar opgeteld de gegevens verwerken van zo’n 3,8 miljoen mensen. Ten tweede besteden kleine gemeentes regelmatig werkzaamheden uit aan grote. De stand van zaken bij de grote gemeenten is dus ook relevant voor de kleinere. Verder vervullen grote gemeenten een voorbeeldfunctie voor kleinere.
Niet op orde
De privacywaakhond deed bij de tien grootste gemeenten een Wob-verzoek. Daaruit blijkt dat veel gemeentes de basis-gegevenshuishouding nog niet goed op orde. Verwerkingsregisters zijn niet compleet en actueel, waardoor gemeenten niet voldoende weten welke gegevens ze verwerken, met welk doel. Ze weten vaak ook onvoldoende of die verwerking rechtmatig en veilig is en met wie ze samenwerken. Zonder goed overzicht kunnen zij niet goed inschatten wat mogelijke risico’s zijn voor burgers.
Gemeenten tonen zich tegelijkertijd wel ambitieus in het datagedreven werken en uitproberen van nieuwe technologieën. Dat is onverstandig als de basis nog niet op orde is, omdat de gegevens waarvan de rechtmatigheid, betrouwbaarheid en actualiteit nog niet gecontroleerd zijn, vervolgens gebruikt worden als input bij het gebruik van bijvoorbeeld big data of algoritmen. Het risico bestaat dan dat er onrechtmatig of onjuiste data wordt ingevoerd, wat weer onrechtmatige of onjuiste resultaten kan opleveren, en dat schaadt burgers.
Burgers die hun AVG-rechten inzetten, bijvoorbeeld door inzage te verzoeken, moeten vaak te lang wachten. Processen zijn niet overal op orde en wettelijke termijnen worden onterecht verlengd en overschreden. De AVG moest er juist voor zorgen dat burgers meer controle en zeggenschap kregen over hun persoonsgegevens. Maar deze rechten worden niet door elke gemeente serieus genomen.
Capaiteitsproblemen
Bij vrijwel elke gemeente is er sprake van een capaciteitsprobleem, doordat er onvoldoende middelen worden vrijgemaakt voor gegevensbescherming. Dit wekt de indruk dat verantwoordelijke bestuurders en directies dit onvoldoende prioriteren. Zonder capaciteit en middelen, kan een gemeente ook geen stappen zetten om de AVG alsnog naar behoren na te leven.
Op grond van artikel 60 van de Gemeentewet moeten burgemeesters en wethouders verantwoording afleggen aan de gemeenteraad over het gevoerde bestuur. De meerderheid van de gemeentebesturen legt echter niet actief verantwoording af aan de gemeenteraad door de AVG-rapportages van de Functionaris Gegevensbescherming met hen te delen. Veel bestuurders vertellen tijdens de raadsvergadering in een paar zinnen hoe het gaat met de naleving van de AVG, maar daarbij delen ze zo weinig informatie dat het gemeenteraden niet in staat stelt hun controlerende functie uit te oefenen.
Er zijn ook positieve ontwikkelingen
Hoewel sommige gemeentes niet vooruit te branden lijken en toezichthouders jaar na jaar een onverbeterde situatie constateren in de rapportages, is er bij andere gemeenten duidelijk een stijgende lijn te zien. Zo laat de gemeente Rotterdam zien dat adviezen van de toezichthouder goed worden opgevolgd, waardoor ze steeds beter gaat voldoen aan de AVG.
De gemeente Utrecht begon in 2016 tijdig met een projectteam om voor te bereiden op de AVG. Ze waren één van de eerste die het verwerkingsregister publiceerde op hun website. Nadat de toezichthouder aangaf dat de inzageverzoeken niet goed genoeg gingen en er te weinig capaciteit was, ondernam men actie om dat te verbeteren.
De gemeente Utrecht scoort het hoogst op de onderdelen die BoF onderzocht. Dat lijkt te komen doordat ze het onderwerp serieus nemen en er voldoende tijd en middelen voor vrijmaken om de rechten van burgers te beschermen. Dat is iets waar andere gemeenten nog veel van kunnen leren. De bescherming van persoonsgegevens is voor gemeenten een kerntaak. Dat bezuinig je niet weg en adviezen daarover sla je niet in de wind.
In het rapport staan ook een aantal aanbevelingen die gemeenten kunnen opvolgen om alsnog aan de AVG te voldoen. Onder meer het doorlopend in kaart brengen van de processen waar persoonsgegevens bij komen kijken binnen de gemeente, strengere controles door de gemeenteraad en Rekenkamer en ‘spannende’ pilots en experimenten een halt toeroepen tot de basis op orde is.
Lees ook:
- Nictiz: uitwisselen medische gegevens moet nog beter
- Vergroot het succes van mobiele apps met veilige authenticatie
