Beheer

Privacy
AVG

BoF: Gemeenten hebben AVG-basis nog steeds niet op orde

Privacy van miljoenen burgers loopt risico, waarschuwt Bits of Freedom.

© Pixabay TheDigitalArtist
24 mei 2022

Privacy van miljoenen burgers loopt risico, waarschuwt Bits of Freedom.

Nederlandse gemeenten houden zich niet aan privacywetgeving AVG die alweer 4 jaar oud is, meldt Bits of Freedom (BoF). De digitale burgerrechtenorganisatie heeft de tien grootste gemeenten onderzocht op AVG-compliance en komt tot tegenvallende conclusies. De basis is niet op orde, vaak is er onwetendheid over dataverwerking én over de risico's daarbij.

Het is slecht gesteld met de privacy van burgers bij gemeenten, waarschuwt BoF die daaraan toevoegt dat miljoenen burgers risico lopen qua hun gegevens. Data- en privacywet AVG (Algemene verordening gegevensbescherming) is op 25 mei 2018 in werking getreden. Nederland had zelf een jaar eerder al een verplichte meldplicht voor datalekken, en liep daarmee dus al wat voor op de Europese totstandkoming van de AVG (ook bekend in het Engels: GDPR, General Data Protection Regulation).

Intern toezicht schiet tekort

"Ondanks dat de privacywet nu vier jaar bestaat, blijkt uit de onderzoeksresultaten dat gemeenten de basis niet op orde hebben, vaak niet weten welke gegevens ze mogen verwerken en welke risico’s daarbij komen kijken", concludeert BoF. "Daarnaast worden de privacyverzoeken van burgers onvoldoende in behandeling genomen."

Verder mankeert het ook wat betreft het interne toezicht bij gemeenten op hun eigen dataverwerking. Daar gaat volgens BoF nog veel mis: "Gemeenteraden worden niet geïnformeerd en interne toezichthouders en privacyteams hebben onvoldoende capaciteit". Hierdoor is er sprake van "onnodig groot risico" op privacyinbreuken, zoals een datalek of onrechtmatige gegevensdeling voor burgers.

4 jaar de tijd gehad

Onderzoeker en beleidsadviseur Nadia Benaissa van BoF noemt de onderzoeksresultaten ontluisterend. Zelfs de grootste gemeenten met de meeste kennis en capaciteit blijken niet te voldoen aan de basis van de wetgeving om de privacy van hun inwoners te waarborgen. "Gemeenten hebben nu vier jaar de tijd gehad om orde op zaken te stellen. Toch blijkt bij de onderzochte gemeenten de basis niet op orde te zijn en is er soms nauwelijks verbetering te zien."

Zij stelt dat dit extra wrang is gezien de gretigheid waarmee Nederlandse gemeenten, ook juist de grote, werken met experimentele technologie. Benaissa noemt als voorbeeld daarvan slimme camera’s en algoritmen. Uit het AVG-onderzoek van Bits of Freedom komt naar voren dat gemeenten niet goed weten welke gegevens ze opslaan en gebruiken. Dit ondanks het feit dat interne toezichthouders meermaals op de risico’s hebben gewezen, maar gemeenten blijken nog te vaak hun adviezen te negeren.

Voorbeeldfunctie en uitbesteding

BoF heeft onderzoek gedaan bij de tien grootste gemeenten van Nederland: Amsterdam, Rotterdam, Den Haag, Utrecht, Eindhoven, Groningen, Tilburg, Almere, Breda en Nijmegen. Die selectie is gedaan om drie redenen. Allereerst de schaalgrootte: die tien gemeenten verwerken bij elkaar opgeteld de gegevens van zo'n 3,8 miljoen mensen. Vervolgens is er het feit van 'uitbesteding': kleine gemeenten besteden regelmatig werkzaamheden uit aan grote gemeenten, legt BoF uit. Daardoor "is de stand van zaken bij de grote gemeenten dus ook relevant voor de kleinere gemeenten".

De derde reden om te gaan voor de 'top tien' van Nederlandse gemeenten is de voorbeeldfunctie die de grote gemeenten hebben voor kleinere gemeenten. BoF heeft bij de gekozen grote gemeenten een Wob-verzoek ingediend met het verzoek voor alle rapportages van de Functionarissen Gegevensbescherming vanaf 2017 tot nu, plus alle rapportages over de informatiebeveiliging. "Ook hebben we gevraagd de interne reacties daarop met ons te delen." BoF biedt op zijn site een downloadbaar zip-bestand met alle opgevraagde documenten.

1
Reacties
P.J. Westerhof LL.M MIM 26 mei 2022 01:24

Elke gemeente heeft verplicht een Functionaris Gegevensbescherming (FG).
Uit het BoF-rapport valt op te maken dat de FG doorgaans onvoldoende middelen heeft.
De FG heeft overigens een eigen relatie met de Autoriteit Persoonsgegevens (AP).
Van de AP is echter bekend dat deze al sinds vóór het in werking treden van de AVG in mei 2016 onvoldoende budget kreeg. Iets waarmee zijn voorganger Registratiekamer overigens ook al werd geconfronteerd.

Van zowel FG als AP mag verwacht worden dat deze zijn rol pakt en hierin doortastend optreedt. Schending van privacyverplichtingen dient door de FG gemeld te worden aan de AP. De AP dient aansluitend op te treden, zo nodig via de Europese toezichthouder EDPB.

In de praktijk echter niets van dat alles. Overheden en bedrijfsleven zien persoonsgegevens als een resource in plaats van een te beschermen democratische entiteit. De burger/klant heeft immers geen 'recht op eigen persoonsgegevens'.
Budgetten worden dan ook besteed aan het vergaren en uitbaten van deze resource, niet aan de beveiliging daarvan, laat staan de bescherming. In de kosten/baten-afweging vormen mogelijke boetes hooguit een boekhoudpost, af te schuiven op burger en klant. Een loterij zonder nieten.
En gezien het timide optreden van FGs en AP is privacybescherming zodoende een dubbeltje op zijn kant geworden.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.