24-11-2022 - De Autoriteit Persoonsgegevens (AP) heeft op 7 november jl. twee handreikingen voor raadsleden van gemeenten gepubliceerd. De AP stelt dat raadsleden voor de privacy van de inwoners van de gemeente op moeten komen door het gemeentebestuur (college van Burgemeester en Wethouders) kritische vragen te stellen over de inzet van technologie binnen de gemeente en privacyaspecten bij samenwerkingsverbanden. De gemeenteraad vertegenwoordigt de inwoners en controleert het dagelijks bestuur van de gemeente. Deze twee aanvullende handreikingen zijn een uitbreiding van de handreiking ‘Gemeenten en privacy: wat kunt u als raadslid doen?’, die de AP in mei publiceerde. Deze blog gaat in op de inhoud van de nieuwe handreikingen en bespreekt hierbij het rapport van Bits of Freedom over de implementatie van de AVG binnen gemeenten. Bieden de tips en tricks van de AP handvatten die gemeenten kunnen gebruiken om de AVG (beter) te implementeren?  

Inhoud van de handreikingen 

De eerste handreiking gaat in op de inzet van nieuwe technologieën. Gemeenten maken bij de verwerking van persoonsgegevens van inwoners steeds vaker gebruik van innovatieve technologieën. Denk bijvoorbeeld aan de inzet van camera’s of het gebruiken van algoritmen bij de preventie van armoede binnen het sociale domein van de gemeente, zoals bijvoorbeeld bij de gemeente Amsterdam. Alhoewel innovatieve technologieën voordelen kunnen opleveren voor de gemeente (denk aan sneller uitvoeren van processen etc.) gaat dit mogelijk ook gepaard met privacyrisico’s voor inwoners.  

De tweede handreiking gaat over samenwerkingsverbanden en privacy. Gemeenten werken veel samen met externe partijen zoals de politie, UWV en woningcorporaties. Binnen een samenwerkingsverband worden mogelijk persoonsgegevens van inwoners gedeeld om domein overstijgende taken binnen het samenwerkingsverband zo goed mogelijk uit te voeren. De AP stelt in de handreiking dat inwoners niet of onvoldoende op de hoogte zijn van het feit dat hun persoonsgegevens worden verwerkt binnen een samenwerkingsverband wat invloed heeft op de controle. 

Volgens de AP helpt een kritische houding van gemeenteraadsleden om het gemeentebestuur te controleren. De AP heeft vragen geformuleerd om de controle vorm te geven. Een vraag die een gemeenteraadslid zou kunnen stellen is bijvoorbeeld ‘Waarom is de inzet van deze technologie noodzakelijk?’. Gemeenten dienen namelijk voorafgaand aan de verwerking deze noodzakelijkheid in kaart te brengen, bijvoorbeeld door het uitvoeren van een Data Protection Impact Assessment (DPIA). Ook de informatievoorziening richting de inwoners is van belang, zij moeten namelijk te allen tijde worden geïnformeerd over de verwerking van hun persoonsgegevens. Zo adviseert de AP in de handreiking het uitvoeren van een Impact Assessment voor mensenrechten en algoritmen (IAMA) bij de inzet van technologieën waarbij algoritmen worden gebruikt. Daarnaast is het van belang dat gemeenten goed in kaart brengen in welke samenwerkingsverbanden wordt deelgenomen. Dit kan een gemeente doen door het verwerkingsregister op orde te brengen en actueel te houden.  

Rapport Bits of Freedom: Gemeenten nemen regels AVG niet in acht 

In mei van dit jaar heeft burgerrechtenorganisatie Bits of Freedom een onderzoek gepubliceerd over de naleving van de AVG door de 10 grootste gemeenten in Nederland. In het licht van dit rapport is het belangrijk dat raadsleden het gemeentebestuur controleren zodat er meer aandacht en bewustwording binnen de gemeentelijke organisatie ontstaat in het kader van privacy. De conclusie van het onderzoek van Bits of Freedom is dat er voor veel gemeenten nog veel werk aan de winkel is om te voldoen aan de AVG. Grootste punt van kritiek is dat gemeenten de privacyrisico’s voor de inwoners niet helder voor ogen hebben. Dit komt bijvoorbeeld doordat gemeenten hun gegevenshuishouding (verwerkingsregister) niet op orde hebben.  

Bieden handreikingen van de AP meer handvatten? 

Wanneer raadsleden het gemeentebestuur regelmatig bevragen over privacygerelateerde onderwerpen zal dat de bewustwording in het kader van privacy binnen de gemeente vergroot worden. Of dat genoeg is blijft de vraag. Gemeenten hebben basisvereisten (zoals een verwerkingsregister en een privacybeleid) uit de AVG vaak nog niet op orde. Ook hebben gemeenten vaak onvoldoende capaciteit beschikbaar om privacygerelateerde werkzaamheden uit te voeren.  De volledige implementatie van de AVG zal blijven steken als een gemeente aan deze basisvereisten tekortschiet, ook al is voldoende bewustwording. Om de AVG-volwassenheid van gemeenten te verbeteren zijn veranderingen nodig binnen de organisatie, zoals een actueel verwerkingsregister, het uitvoeren van DPIA’s en IAMA’s en voldoende capaciteit hiervoor.  

Quincy van Opzeeland Senior Legal Consultant

Meer weten?

Ondervindt u als gemeente problemen met de implementatie van de AVG, bijvoorbeeld het opstellen van een verwerkingsregister of het uitvoeren van een DPIA of IAMA binnen uw organisatie? Considerati staat voor u klaar om over een en ander te adviseren. Neem bij vragen gerust vrijblijvend contact met ons op.