‘Bescherming gegevens moet in ieders hoofd’

Net als iedere andere organisatie moeten gemeenten voldoen aan de regels van de Algemene verordening gegevensbescherming. Maar het komt nog te vaak voor dat ze een potje maken van de privacy. De Autoriteit Persoonsgegevens (AP) vindt dat gemeenten beter hun best moeten doen.

De gemeente Hellevoetsluis had dit jaar de twijfelachtige eer de eerste ge meente te zijn waar de Autoriteit Persoonsgegevens het toezicht verzwaarde. Na een onderzoek door de eigen rekenkamer bleek dat de gemeente niet genoeg deed om gevoelige informatie van haar eigen burgers te beschermen. Een eigen privacybeleid had de gemeente niet, en de regels werden meerdere keren overschreden. En de gemeente had beter moeten weten. In 2019 bleek dat Hellevoetsluis een datalek had in het eigen systeem; documenten en gegevens van burgers waren openbaar bereikbaar.

In een eigen bekendmaking over het verzwaren van het toezicht noemde de AP Hellevoetsluis overigens niet bij naam. Dat was een bewuste keuze, zegt Monique Verdier, vicevoorzitter van de privacywaakhond. ‘We wilden met het bericht vooral een signaal geven: zorg goed voor de gegevens van de eigen burger. Neem het onderwerp niet pas serieus als het te laat is en je wordt geconfronteerd met een datalek of een hack.’ Maar de AP rolde ook even met de spierballen.

De Autoriteit heeft sinds de invoering van de Algemene verordening gegevensbescherming (AVG) bevoegdheden gekregen om in te grijpen als organisaties – dus ook overheden – zich niet houden aan de privacyregels. Verscherpt toezicht, waarbij een gemeente regelmatig moet rapporteren aan de AP, is daar één van. Maar er kunnen ook zware boetes worden opgelegd. Toch bestrijdt Verdier dat Hellevoetsluis als voorbeeld werd gesteld. ‘We hebben dat niet zomaar gedaan. Er is daar echt wat aan de hand.’

Onduidelijke grens

Hellevoetsluis is beslist niet de enige gemeente waar de AVG, van kracht sinds 2018, nog niet heeft geleid tot een beter uitgewerkt privacybeleid. Vorige week bleek uit een onderzoek door de NHL Stenden Hogeschool dat gemeenten in het online volgen van de eigen burgers soms best ver gaan. Ze houden sociale media als Facebook en Twitter in de gaten om beter te anticiperen op ongeregeldheden bij demonstraties of speuren naar bijstandsfraude op Marktplaats. Daarbij wordt in een aantal gemeenten zelfs gebruik gemaakt van nepaccounts, bijvoorbeeld om toegang te krijgen tot besloten Facebookgroepen.

Volgens de onderzoekers is de grens tussen wat wel en niet mag voor ambtenaren vaak onduidelijk. Verdier: ‘Gemeenten, of andere overheden, mogen mensen absoluut niet zomaar volgen. Alleen in uitzonderlijke gevallen en onder strikte voorwaarden is dat toegestaan. Wij kennen zo geen voorbeeld wanneer een gemeente dat wel zou mogen. In de meeste gemeenten wordt geen gebruik gemaakt van een protocol voor het online monitoren van burgers.’

De gevolgen van het verzamelen van persoonsgegevens of het lekken ervan kunnen groot zijn, zelfs als het op het eerste oog niet om heel gevoelige informatie gaat. Verdier: ‘Stel je eens voor dat een gemeente een mail over de aanvraag van een dakkapelvergunning heeft gelekt. Dat lijkt misschien geen gevoelige informatie, maar het kan wel gebruikt worden door een crimineel om zich bijvoorbeeld voor te doen als ambtenaar en de aanvrager op te lichten. En die gevoeligheid is nog veel groter als het om het sociaal domein gaat.

In Finland werden ouders gechanteerd door criminelen nadat dossiers van de jeugdzorgorganisatie door een datalek waren bemachtigd. Gemeenten zetten de veiligheid van de eigen burger bovenaan. Als de riolering overloopt, dan komt men direct in actie. Dat moet ook gelden voor de digitale veilig heid. Als je goed zorgt voor de burger, zorg je ook goed voor zijn persoonsgegevens.’

Dubbele pet

Toch blijven veel gemeenten worstelen met de AVG. De nieuwe wetgeving stelt duidelijke regels, maar in veel gemeentelijke organisaties heerst het gevoel dat ze de beweegruimte van de gemeente beperken. Mag je nog wel overleggen met externe organisaties over specifieke zorgbehoevende burgers? Of met corporaties over overlastgevende inwoners? Die worsteling ziet Wilmar Hendriks, bestuurder van de stichting Privacy First, ook. ‘In veel organisaties, ook in de gemeentelijke organisatie, willen mensen gewoon hun taak goed en efficiënt uitvoeren. Als ze dan ineens worden geconfronteerd met de AVG, dan kost dat veel extra moeite. Dat wordt opgevat als tegenstrijdige regelgeving, maar dat is de verkeerde benadering.

Uiteindelijk gaat het om bewustwording: we zijn er in de loop van de jaren aan gewend geraakt dat we naar de burger transparant zijn over de belastingen. We leggen uit hoe we ermee werken, om te laten zien dat we wel degelijk fatsoenlijk met het geld van de burger omgaan. Voor de privacy geldt hetzelfde: fatsoen!’

Dat vergt een andere manier van denken over het inrichten van processen. Zowel Verdier als Hendriks wijzen erop dat bij het introduceren van nieuwe werkwijzen, tools en functies in de gemeentelijke gegevensverwerking vaak pas achteraf wordt nagedacht over de privacywetgeving. Maar ‘privacy by design’ moet het uitgangspunt worden. Hendriks: ‘Het zorgvuldig omgaan met persoonsgegevens hoeft de efficiency helemaal niet in de weg te zitten. We hebben een gemeente geholpen met het trainen van leerplichtambtenaren om het invoeren van gegevens te beperken tot het strikt noodzakelijke. Uiteindelijk bleek dat het 10 procent van hun werktijd scheelde.’

Maar om te bepalen of, en op welke manier, persoonsgegevens kunnen worden gebruikt, moet de onafhankelijke Functionaris Gegevensbescherming (FG) een centrale rol hebben in de organisatie. Verdier: ‘Uiteindelijk zijn wij als autoriteit geen vraagbaak voor de gemeente. De FG moet intern toezicht houden op de naleving van de AVG. Maar dat betekent wel dat die in de juiste positie moet zijn om dat toezicht uit te oefenen, met rechtstreekse toegang tot het gemeentebestuur en de gemeentesecretaris.’

Aan die onafhankelijke positie schort het vaak. FG’s hebben vaker, naast hun toezichthoudende rol, nog een andere functie in de gemeente. Die dubbele pet is niet wenselijk, vindt de AP, omdat dat de onafhankelijkheid bedreigt. Ook woordvoerder Remco Groet van de Informatiebeveiligingsdienst voor gemeenten (IBD) merkt dat de positie van de FG in veel gemeenten moeilijk ligt. ‘Veel FG’s hebben naast hun rol als toezichthouder nog andere verplichtingen. Regelmatig moeten ze ook uitvoerende taken verrichten, of wordt hun taak door anderen opgevat als: ‘regel jij de privacy even’. Die verschillende petten maken het moeilijk om als onafhankelijke toezichthouder te werken.’

Persoonlijke informatie

Volgens Verdier moeten gemeenten zich er extra bewust van zijn dat ze met gevoelige gegevens werken. ‘Bij een bedrijf kun je kiezen of je er zaken mee doet, en of je persoonlijke informatie met ze deelt. Maar bij een gemeente heeft een inwoner die keuze niet. Het gaat er niet alleen om of je voldoet aan de AVG, het gaat ook om het besef dat privacy belangrijk is, dat werkprocessen worden bedacht met gegevensbescherming in ieders hoofd en dat er binnen de organisatie onafhankelijk toezicht is. Bescherming van persoonsgegevens hoort een belangrijk uitgangspunt van de organisatie te zijn, en de FG moet dat blijven toetsen en in een vroeg stadium betrokken worden. Als de Autoriteit Persoonsgegevens als toezichthouder moet optreden, ben je eigenlijk al een station te ver.’