Op 9 oktober heeft de Autoriteit Persoonsgegevens (AP) een het sectorbeeld Overheid gepubliceerd. Het rapport brengt een aantal ontwikkelingen en trends op privacy gebied in kaart. Het rapport omvat alle overheden: ministeries, waterschappen, maar ook een aantal constateringen over Gemeenten. In twee blogs ga ik in op de constateringen die de AP over gemeenten doet.
De AP merkt in haar rapport op dat overheden, dus ook gemeenten de AVG niet als vaststaand feit zien maar slechts als onderdeel van een afweging. Ze merkt op dat andere belangen soms zwaarder wegen dan de naleving van de AVG. Als voorbeeld worden het bestrijden van ondermijnende criminaliteit of bijstandsfraude gegeven. Omdat bij overheidsorganisaties de bestuurder verwerkingsverantwoordelijke is, merkt ze daarom op dat bestuurders voldoende kennis van zaken hebben om goede besluiten te kunnen nemen over (nieuwe) verwerkingen van persoonsgegevens.
Over de vraag of een dergelijke rechtlijnige opstelling terecht is schreef Christian Verhagen een interessante blog voor iBestuur. Hij merkt daar in op dat privacy een grondrecht is maar ook bijvoorbeeld bestaanszekerheid dat is. Volgens hem is dat geen excuus om als overheid de wet te overtreden maar “het is wel goed om de wet en de interpretatie daarvan af en toe eens goed tegen het licht te houden om zelf tot een eigen afweging te komen”.
De AP signaleert dat gemeenten steeds meer behoefte hebben om gegevens te delen en aan elkaar te koppelen. Deze behoefte is er met name in de volgende domeinen: sociaal, zorg en veiligheid. De behoefte speelt binnen gemeenten tussen verschillende afdelingen, maar ook buiten de gemeenten bij samenwerkingsverbanden.
De AP wijst erop dat ook voor deze verwerkingen een juridische grondslag nodig is. Als er geen grondslag is, mogen organisaties persoonsgegevens niet verwerken, ongeacht eventuele getroffen maatregelen of opgestelde handreikingen.
De tweede opmerking die de AP hierover maakt is dat bij samenwerkingsverbanden niet altijd duidelijk wie welke rol inneemt en wie precies waarvoor verantwoordelijk is. Hierover moeten de samenwerkende partijen duidelijke afspraken maken voor zij starten met het samenwerkingsverband.
En: ook voor experimenten en pilots waarbij gegevens worden verwerkt de AVG onverkort geldt.
Een andere ontwikkeling die de AP specifiek binnen het sociaal domein signaleert, is dat een aantal gemeenten algoritmes heeft gebruikt om burgers met een bijstandsuitkering te profileren op frauderisico. Mensen met een – volgens het algoritme – hoger frauderisico konden rekenen op intensievere controle door hun gemeente. De AP merkt in dit verband op dat gemeenten de eisen die de AVG stelt aan het geautomatiseerd verwerken van persoonsgegevens niet altijd scherp hebben.
De AP gaat hierom met de VNG in gesprek over de ontwikkeling en het gebruik van algoritmes
Over de privacy cultuur binnen gemeenten maakt de AP een aantal opmerkingen.
De AP uit met name haar zorg over de bescherming van persoonsgegevens in het veiligheidsdomein: zij meent dat de AVG daar regelmatig als hinderpaal wordt gezien. Daarnaast signaleert ze dat de AVG in sommige gemeenten bewust worden genegeerd bij de bestrijding van criminaliteit en het handhaven van de openbare orde.
Ten derde signaleert de AP dat gemeenten vaak niet bereid zijn om te investeren in privacy waarborgen, zoals het uitvoeren van DPIA’s en het tijdig betrekken van de FG.
In het volgende deel ga ik onder andere in op de constateringen van de AP over cameratoezicht transparantie en de rol van de FG.