BoF: Gemeenten hebben AVG-basis nog steeds niet op orde

Het is slecht gesteld met de privacy van burgers bij gemeenten, waarschuwt BoF die daaraan toevoegt dat miljoenen burgers risico lopen qua hun gegevens. Data- en privacywet AVG (Algemene verordening gegevensbescherming) is op 25 mei 2018 in werking getreden. Nederland had zelf een jaar eerder al een verplichte meldplicht voor datalekken, en liep daarmee dus al wat voor op de Europese totstandkoming van de AVG (ook bekend in het Engels: GDPR, General Data Protection Regulation).

Intern toezicht schiet tekort

"Ondanks dat de privacywet nu vier jaar bestaat, blijkt uit de onderzoeksresultaten dat gemeenten de basis niet op orde hebben, vaak niet weten welke gegevens ze mogen verwerken en welke risico’s daarbij komen kijken", concludeert BoF. "Daarnaast worden de privacyverzoeken van burgers onvoldoende in behandeling genomen."

Verder mankeert het ook wat betreft het interne toezicht bij gemeenten op hun eigen dataverwerking. Daar gaat volgens BoF nog veel mis: "Gemeenteraden worden niet geïnformeerd en interne toezichthouders en privacyteams hebben onvoldoende capaciteit". Hierdoor is er sprake van "onnodig groot risico" op privacyinbreuken, zoals een datalek of onrechtmatige gegevensdeling voor burgers.

4 jaar de tijd gehad

Onderzoeker en beleidsadviseur Nadia Benaissa van BoF noemt de onderzoeksresultaten ontluisterend. Zelfs de grootste gemeenten met de meeste kennis en capaciteit blijken niet te voldoen aan de basis van de wetgeving om de privacy van hun inwoners te waarborgen. "Gemeenten hebben nu vier jaar de tijd gehad om orde op zaken te stellen. Toch blijkt bij de onderzochte gemeenten de basis niet op orde te zijn en is er soms nauwelijks verbetering te zien."

Zij stelt dat dit extra wrang is gezien de gretigheid waarmee Nederlandse gemeenten, ook juist de grote, werken met experimentele technologie. Benaissa noemt als voorbeeld daarvan slimme camera’s en algoritmen. Uit het AVG-onderzoek van Bits of Freedom komt naar voren dat gemeenten niet goed weten welke gegevens ze opslaan en gebruiken. Dit ondanks het feit dat interne toezichthouders meermaals op de risico’s hebben gewezen, maar gemeenten blijken nog te vaak hun adviezen te negeren.

Voorbeeldfunctie en uitbesteding

BoF heeft onderzoek gedaan bij de tien grootste gemeenten van Nederland: Amsterdam, Rotterdam, Den Haag, Utrecht, Eindhoven, Groningen, Tilburg, Almere, Breda en Nijmegen. Die selectie is gedaan om drie redenen. Allereerst de schaalgrootte: die tien gemeenten verwerken bij elkaar opgeteld de gegevens van zo'n 3,8 miljoen mensen. Vervolgens is er het feit van 'uitbesteding': kleine gemeenten besteden regelmatig werkzaamheden uit aan grote gemeenten, legt BoF uit. Daardoor "is de stand van zaken bij de grote gemeenten dus ook relevant voor de kleinere gemeenten".

De derde reden om te gaan voor de 'top tien' van Nederlandse gemeenten is de voorbeeldfunctie die de grote gemeenten hebben voor kleinere gemeenten. BoF heeft bij de gekozen grote gemeenten een Wob-verzoek ingediend met het verzoek voor alle rapportages van de Functionarissen Gegevensbescherming vanaf 2017 tot nu, plus alle rapportages over de informatiebeveiliging. "Ook hebben we gevraagd de interne reacties daarop met ons te delen." BoF biedt op zijn site een downloadbaar zip-bestand met alle opgevraagde documenten.