Gemeenten overtreden bewust de privacywet

Gemeenten verliezen de privacybelangen van hun inwoners regelmatig uit het oog vanwege andere prioriteiten. Dit blijkt uit het sectorbeeld Overheid van de Autoriteit Persoonsgegevens (AP).

Overheidsorganisaties verzamelen meer persoonsgegevens dan ooit en willen deze gegevens steeds vaker aan elkaar koppelen, zo schrijft de AP in het rapport dat woensdag is verschenen. Echter, bij nieuwe vormen van gegevensverwerking ontbreekt vaak de nodige aandacht voor de privacybelangen van burgers. Vooral gemeenten zoeken regelmatig de grenzen van de privacywet op en gaan hier steeds vaker overheen.

Gemeenten en ministeries negeren privacyrisico’s

Volgens de privacywaakhond zijn er bijvoorbeeld gemeenten die het grondrecht op privacy te gemakkelijk terzijde schuiven in de strijd tegen georganiseerde criminaliteit en bijstandsfraude. Ministeries houden bij het opstellen van nieuwe wetgeving niet altijd voldoende rekening met de mogelijke privacyrisico's die nieuwe verwerkingen van persoonsgegevens met zich mee kunnen brengen.

Waterschappen vallen positief op

Opvallend is dat de AP lovend is over de stappen die waterschappen maken; zij voldoen gemiddeld genomen aan de eisen van de Algemene Verordening Gegevensbescherming (AVG). Door de digitale transformatie zullen in de komende periode echter meer persoonsgegevens worden verwerkt, bijvoorbeeld door cameratoezicht en wateranalyse. Dit vereist bestuurlijke aandacht voor de verwerking van persoonsgegevens.

Provincies komen er minder goed vanaf. Zij hebben hun privacy- en informatiehuishouding nog niet altijd op orde, ondanks dat zij minder persoonsgegevens verwerken dan bijvoorbeeld gemeenten. 'Een goede privacy- en informatiehuishouding is dan ook onontbeerlijk voor provincies', stelt de AP. De provincie Zuid-Holland heeft zelfs een rapportageverplichting opgelegd gekregen. Hoewel er nog geen onderzoek is gedaan naar andere provincies, zijn er signalen dat ook daar ruimte voor verbetering is.

Belastingdienst blijft achter

Over het algemeen is gegevensbescherming beter geregeld bij uitvoeringsorganisaties dan bij andere overheidsorganisaties. De Belastingdienst vormt echter een negatieve uitzondering. 'De AP heeft de afgelopen jaren regelmatig handhavend moeten optreden bij de Belastingdienst en heeft nog steeds zorgen over de naleving van de AVG', aldus de rapporteurs. Onlangs heeft de AP besloten het toezicht op de Belastingdienst verder te intensiveren.

Geen verplichte risicoanalyses (DPIA)

Een van de oorzaken van het overtreden van de AVG door overheden is dat er vaak geen verplichte ‘data protection impact assessment’ (DPIA) wordt uitgevoerd. Dit is een risicoanalyse waarmee privacyrisico's in kaart worden gebracht. 'De AP ziet te vaak dat de overheid in het voortraject van een nieuwe gegevensverwerking niet standaard een DPIA uitvoert of dat de functionaris gegevensbescherming (FG) niet betrokken wordt bij een DPIA. Het uitvoeren van een DPIA en het betrekken van de FG kunnen waardevolle inzichten geven over de vraag of een nieuwe verwerking zinvol is én toegestaan is volgens de privacywetgeving.'

Gebrek aan kennis bij bestuurders

Een andere oorzaak is een gebrek aan kennis bij bestuurders. Volgens de AP is er binnen de overheid nog veel ruimte voor verbetering. Er zijn wel initiatieven om het kennisniveau te verhogen, maar dit is nog niet voldoende. 'De Vereniging van Nederlandse Gemeenten (VNG) heeft bijvoorbeeld een 'kopgroep' van digitaal betrokken burgemeesters. De AP constateert echter dat de andere burgemeesters nog op enige afstand achter deze kopgroep volgen.'

Verouderde IT-systemen en afhankelijkheid 

Andere oorzaken voor overtredingen van de AVG bij de overheid zijn verouderde IT-systemen die te traag aanpassingen kunnen doorvoeren. 'Wanneer de AP verbeterpunten ontdekt in IT-systemen bij overheidsorganisaties, duurt het vaak lang om die systemen aan te passen. Dit komt mogelijk door het gebruik van oude IT-systemen, gebrek aan kennis, onvoldoende prioritering of een combinatie van deze factoren.'

Daarnaast merkt de AP op dat de overheid te afhankelijk is van één IT-dienstverlener. Er wordt te weinig gedaan om het risico te beheersen dat een cloudleverancier stopt of failliet gaat. Volgens de AP zou er een overheidsbreed plan moeten komen om dit risico te vermijden.