De privacy van mensen is nog te vaak in het geding als gemeenten aan de gang gaan met projecten rond smart city. De AP publiceert daarom aanbevelingen die de gemeenten bij de les moeten houden.
De aanbevelingen richten zich vooral op gemeenten die met slimme sensoren en meetapparatuur data in de openbare ruimte verzamelen of dat van plan zijn. Vooral letten op privacywetgeving is bij smart city-toepassingen belangrijk.
Slecht ontwikkelde toepassingen kunnen namelijk ten koste gaan van de vrijheid van inwoners en bezoekers van die gemeente. Bijvoorbeeld wanneer een gemeente burgers in de openbare ruimte volgt op een manier die niet nodig is of niet mag.
Persoonsgegevens
Een gemeente die technologie inzet, verwerkt vaak ook persoonsgegevens. Met sensoren of meetapparatuur meten gemeenten bijvoorbeeld verkeersstromen en bezoekersaantallen. De sensoren kunnen ook uitgaansgebieden monitoren om de mobiliteit en veiligheid te verbeteren. De privacywet – de Algemene verordening gegevensbescherming (AVG) – beschermt mensen tegen onnodig of ongeoorloofd verzamelen of gebruiken van hun persoonsgegevens in de openbare ruimte.
De AP keek naar de mate waarin gemeenten gebruik maken van smart city-toepassingen en hoe ze bij de ontwikkeling en invoering daarvan de persoonsgegevens van inwoners en bezoekers beschermen. De verschillen, zo blijkt, zijn groot. Sommige gemeenten lopen voorop en zetten hiervoor nieuwe technologieën in. Maar er zijn ook gemeenten die geen of heel weinig smart city-toepassingen gebruiken. Dit verschil wordt onder meer bepaald door de omvang van de gemeente en de vraagstukken die er leven.
Gemeenteraad
Ook gemeenteraden moeten scherp zijn op digitalisering en de inzet van smart city-toepassingen. Zij moeten voldoende kennis hebben en informatie krijgen om hun controlerende taak goed uit te kunnen voeren. Gemeenteraadsleden kunnen bijvoorbeeld bij hun interne privacytoezichthouder – de Functionaris gegevensbescherming (FG) – vragen hoe de privacy is geborgd en welke risico’s er zijn.
Nederland beschikt over veel technologische kennis en innovatiekracht. Gemeenten kunnen dit goed benutten voor het ontwikkelen van privacyvriendelijke smart city-toepassingen. Tenminste, als die technologie wel echt nodig is om een probleem in de openbare ruimte aan te kunnen pakken. Want waar een probleem zonder inzet van die technologie en data kan worden opgelost, moet een gemeente deze vaak minder ingrijpende optie onderzoeken.
Aanbevelingen
- Zorg dat de basisbeginselen van de AVG op orde zijn.
Het opstellen van een risicoanalyse, een zogenoemde data protection impact assessment (DPIA), voor smart city-toepassingen is vaak verplicht. Een DPIA helpt om te beoordelen of de gegevensverwerking rechtmatig is en welke mogelijke risico’s er zijn. Overweeg om de DPIA te publiceren, burgers weten dan hoe hun privacy is geborgd. - Maak beleid voor de inzet van smart city-toepassingen en vertaal dit naar praktische handvatten voor uitvoering.
- Wees bij aanschaf van producten en diensten kritisch of deze aan de AVG voldoen. Een leverancier kan dat beweren, maar is het in de context van uw gemeente wel echt zo?
Onderzoek hoe u als gemeente inzicht krijgt in de sensoren die door derden in de openbare ruimte worden geplaatst en deel deze informatie met burgers. - Zorg voor voldoende mensen en middelen voor het organiseren van privacy binnen de gemeente. Let er vooral op dat de interne privacytoezichthouder, de FG, zijn of haar rol goed kan uitoefenen.
- Gebruik de kennis van burgrs bij het in kaart brengen van de risico’s. Zij kennen hun eigen leefomgeving het best en kunnen meedenken over de gevolgen van een technische toepassing.
Ongedwongen over straat
Monique Verdier, vicevoorzitter AP: “Het gevaar bestaat dat we naar een surveillancemaatschappij gaan waar je niet meer ongedwongen over straat kunt lopen. De inzet van technologie kan gemeenten weliswaar meer inzicht geven in het gebruik van de openbare ruimte, maar dat mag niet zonder stil te staan bij de prijs die de inwoners en bezoekers van die gemeente hiervoor betalen. Hoe verhoudt het verzamelen van hun gegevens in de openbare ruimte zich tot hun vrijheid? Wie kan er allemaal bij die gegevens en waar mogen die voor worden gebruikt? Welke informatie mag aan elkaar worden gekoppeld? De technische mogelijkheden zijn oneindig, maar aan wat ethisch en juridisch toelaatbaar is zit een grens. Laat privacy het startpunt zijn van innovatie, niet het sluitstuk.”
