Op 9 oktober heeft de Autoriteit Persoonsgegevens (AP) een het sectorbeeld Overheid gepubliceerd. Het rapport brengt een aantal ontwikkelingen en trends op privacy gebied in kaart. Het rapport omvat alle overheden: ministeries, waterschappen, maar ook een aantal constateringen over gemeenten. In dit tweede blog gaat Nico Mookhoek in op de constateringen die de AP over gemeenten doet.
Een specifieke ontwikkeling op dit vlak ziet de AP in het toenemende gebruik van (mobiel) cameratoezicht. Het (tijdelijk) filmen van openbare gebieden kan een enorme impact hebben op de privacy van burgers. De AP merkt daarom op dat cameratoezicht altijd aan de vereisten van ‘subsidiariteit’ en ‘proportionaliteit’ voldoet.
Subsidiariteit is de vraag of camera-inzet daadwerkelijk noodzakelijk is of dat een probleem ook zonder de inzet van camera’s aangepakt kan worden. De afweging voor proportionaliteit houdt in dat afgewogen wordt of de inbreuk op de privacy in verhouding is tot het doel van het cameratoezicht.
De AP constateert dat gemeenten niet altijd duidelijk communiceren over nieuwe processen, hoe zij persoonsgegevens in bepaalde processen precies verwerken, hoe zij de privacy van burgers waarborgen, etc. Meer transparantie dwingt organisaties ook om beter na te denken over hoe zij aan de AVG denken te (gaan) voldoen en of nieuwe verwerkingen wel echt noodzakelijk zijn.
Een volledig en up-to-date verwerkingsregister en algoritmeregister dragen bij aan het verhogen van de transparantie. De AP roept gemeenten op om deze registers te publiceren, zodat iedereen deze kan inzien.
De AP ziet, zoals boven geconstateerd met betrekking tot het veiligheidsdomein dat gemeenten de grens van de AVG opzoeken en daar ook vaker overheen lijken te gaan. Als oorzaak benoemt de AP een gebrek aan kennis over de AVG binnen een organisatie of bij het bestuur. Zij constateert echter ook dat gemeenten de AVG soms moedwillig aan de kant schuiven, omdat zij die als belemmering zien voor de uit te voeren taak.
Het moedwillig aan de kant schuiven kan ook voortkomen uit een gebrek aan kennis of onvoldoende besef van het belang van privacy. Maar ook (ontbrekende) wetgeving kan wel degelijk een belemmering vormen.
Het tegenovergestelde van bestuurders die de grenzen proberen op te rekken, komt de AP ook tegen: bestuurders die handelingsverlegen zijn. De privacywet- en regelgeving wordt als sta-in-de-weg gezien, zonder dat dit het geval is.
De AP plaatst in haar rapport ook nog een aantal opmerkingen die betrekking hebben op de rol van de FG.
Allereerst merkt zij op dat de onafhankelijkheid van FG’s een harde voorwaarde is om ervoor te zorgen dat FG’s hun werk goed kunnen doen. Heeft de FG bijvoorbeeld verschillende petten op, dan kan dit de onafhankelijke adviesrol van de FG in de weg zitten. Als voorbeeld noemt de AP de FG die tegelijkertijd ook privacy officer is.
De FG zou dan namelijk als onafhankelijk toezichthouder het privacy beleid moeten controleren dat de FG als privacy officer mede vormgeeft.
Verder signaleert de AP dat vooral bij kleinere gemeenten de onafhankelijke positie van de FG niet altijd heel sterk is. Als mogelijke oplossingen draagt zij aan het inhuren van een externe FG of het aanstellen van één FG voor meerdere gemeenten.
Verder merkt de AP op hoewel de adviezen van een FG geen bindende adviezen zijn, het oordeel van de FG wel zwaarwegend is. Een organisatie die van het advies van een FG wil afwijken, moet dat gedegen motiveren. Dat laatste gebeurt echter niet altijd.
In de vorige blog ging ik onder andere in op de constateringen van de AP over het koppelen van gegevens in de verschillende domeinen, de AVG als vaststaand feit en de zorgen van de AP over de privacy cultuur.
De adviezen van de AP zijn in 4 bullets samen te vatten.
Richt de gegevensdeling tussen externe partijen en binnen de verschillende domeinen in de gemeente goed in.
Zorg voor tijdige en goede DPIA’s.
Maak in het veiligheidsdomein een goede belangenafweging tussen privacy en veiligheid.
Versterk de positie van de FG.
