Verzuipen in de data

In 2018 wordt er naar verwachting een verordening van kracht die de wetgeving ter bescherming van persoonsgegevens flink aanscherpt. Het wordt spannend of kleine gemeenten de standaard halen.

Juridische zaken
Met regelmaat vechten burgers beleid aan. Soms zelfs strijden overheden onderling. Een serie over de meest voorkomende juridische geschillen.

Persoonsgegevens van gemeenten worden nu nog beschermd via onder andere de Wet bescherming persoonsgegevens (Wbp). De Wbp is gemaakt in een tijd dat persoonsgegevens ‘in figuurlijke zin alleen nog op papier stonden’, vertelt Marieke Thijssen, specialist privacyrecht van advocatenkantoor Hekkelman. Met een nieuwe verordening, in de wandelgangen ook wel ‘privacyverordening’ genoemd, worden de huidige regels met betrekking tot privacy naar verwachting in 2018 aangescherpt en krijgt de toezichthouder, het College Bescherming Persoonsgegevens (CBP) meer mogelijkheden om de privacywet te handhaven. ‘Momenteel geven veel gemeenten nog hun eigen invulling aan diverse privacy-regels. Niet alles omtrent privacy is momenteel dus even scherp geregeld en de huidige wetgeving wordt door veel gemeenten nog niet helemaal nageleefd.’

Volgens Thijssen loopt de wetgeving soms nog achter de feiten aan omdat er tegenwoordig gebruik wordt gemaakt van ‘heel andere technieken’ dan bijvoorbeeld tien of twintig jaar geleden. ‘Bedenk maar eens hoeveel mensen er inmiddels persoonsgegevens verwerken via bijvoorbeeld Facebook of persoonsgegevens opslaan in de cloud. Dat zijn voorbeelden van ‘technieken’, die in een paar jaar tijd een enorme vlucht hebben genomen. De gemeente kampt met dezelfde ontwikkeling wat betreft het opslaan van data. De wetten die nu gelden, zijn gebaseerd op een periode waarin er nog geen sprake was van de enorme hoeveelheid data die we nu hebben. Daardoor is veel onduidelijk en gaat het soms nog wel eens mis.’

Gevoelige gegevens
Het is de drastisch veranderende techniek, maar ook de drastisch toenemende hoeveelheid data die voor problemen zorgen. ‘De gemeenten raken door die datagroei de grip op hun eigen data kwijt. Als er zoveel data in omloop zijn, is het moeilijk om alles in goede banen te laten verlopen. Daarbij krijgen gemeenten er steeds meer taken bij. Denk aan de taken als gevolg van de veranderingen in het zorgstelsel. De gemeenten zijn genoodzaakt om ter uitvoering van die taken nog meer gegevens te verwerken. Dat zijn soms gevoelige gegevens’, vertelt Thijssen. ‘Neem bijvoorbeeld de gegevens over de gezondheid van mensen, je wil als gemeente natuurlijk niet dat deze op straat komen te liggen.’ Voor het gebruik van deze extra gevoelige data bestaan soms weer bijzondere wetten, zo vertelt Thijssen. Die verschillende wetten roepen soms ook onduidelijkheden op.

Gegevens mogen op grond van de Wbp bijvoorbeeld niet te lang bewaard worden. ‘Maar wat is te lang bewaren? En is te lang bewaren op grond van de Wbp ook te lang bewaren op grond van een bijzondere wet? De gemeente functioneert soms haast als een bedrijf met gegevens van werknemers, een eigen website, diverse zorgtaken en uitkeringen. Er bestaan veel onduidelijkheden, dat brengt de nodige moeilijkheden met zich mee.’

De Wbp is redelijk vrijblijvend. Daar moet met de privacyverordening een einde aan komen. Voor gemeenten ontstaan er met de privacyverordening van 2018 dan ook enkele prangende vragen, zo vermoedt Thijssen. ‘Is de beveiliging van al die data wel goed op orde? Zijn de systemen wel goed genoeg? Wie heeft er toegang tot de data? Welke gegevens bewaar je en welke niet?’ De intentie van de gemeente met al die gevoelige data is niet verkeerd, denkt Thijssen.

‘Ze proberen er zo goed mogelijk mee om te gaan en meestal zijn gemeenten zich ook erg bewust van de risico’s die het beheren van de data met zich meebrengt, daar ligt het probleem niet.’ Zo is er nu bijvoorbeeld een wetsvoorstel dat op de verordening van 2018 vooruitloopt. Het behelst het voornemen dat datalekken voortaan verplicht moeten worden gemeld worden door gemeenten. Makkelijk wegkomen met een lek is dan niet meer mogelijk, want vaak wordt dit soort incidenten breed uitgemeten in de media. ‘De daadwerkelijke gevolgen van een lek vallen vaak nog enigszins mee. Wanneer er iets uitlekt is dat niet zozeer een financiële ramp, maar het imago van de gemeente en zijn betrouwbaarheid loopt wel een flinke deuk op’, vertelt Thijssen. ‘Maar het is absoluut niet zo dat gemeenten daarom slordig omspringen met gegevens. Ze willen het goed doen, maar de kennis en de middelen zijn er niet altijd.’

Aanscherpen beveiliging
Vanaf 2018 moeten gemeenten stappen hebben gemaakt. De regelgeving belooft veelomvattend te worden. ‘Het zal een zware klus worden om alles op tijd rond te krijgen. De nieuwe regels zullen ongetwijfeld een hoop vergen. Gemeenten moeten een inventarisatie maken van alle gegevens die zij gebruiken. Dan is het zaak om te kijken hoe de beveiliging kan worden aangescherpt om aan de nieuwe normen te voldoen. Al met al levert dat een hele hoop werk op’, aldus Thijssen. En ondertussen moeten gemeenten ook aan alle regels in alle bijzondere wetten blijven voldoen. ‘Hoe ga je om met cameratoezicht, dat door gemeenten steeds vaker wordt ingezet? Waar mag je wel filmen en waar niet? Wat mogen gemeenten  wel en niet gebruiken van het verkeer dat ze op sociale media tegenkomen, zoals het monitoren van advertenties op Marktplaats van uitkeringsgerechtigden? Maar er zijn ook vraagstukken die gaan over de rol van de gemeente als werkgever. Mag je het e-mailverkeer van ambtenaren bijvoorbeeld inzien? Over al die vraagstukken moeten gemeenten zich aan de hand van de bestaande en de nieuwe regels buigen.’

Voor een grote gemeente met veel middelen is de overgang naar de nieuwe wetgeving haalbaar, denkt Thijssen. ‘Er is daar al veel kennis over privacy-regels. Een kritiekpunt is of dit voor de kleinere gemeenten wel haalbaar is. De tekst van de verordening is natuurlijk nog niet definitief. Maar het is de vraag of een kleinere gemeente aan exact dezelfde voorwaarden moet gaan voldoen, of dat hier onderscheid wordt gemaakt omdat dit voor hun misschien niet haalbaar is.’ Of ook kleinere gemeenten de nieuwe standaarden op tijd gaan behalen is ‘zeer de vraag’, vermoedt Thijssen. ‘Behalve het feit dat er nu veel meer data worden opgeslagen dan een paar jaar terug en gemeenten aan die verantwoordelijkheid al hun handen vol hebben, moeten zijn straks nog veel meer de regels naleven dan nu het geval is.

Door toenemende taken en nieuwe technische ontwikkelingen op data-gebied hebben gemeenten er ineens een hoop verantwoordelijkheden bij. Als straks de regelgeving voor deze verantwoordelijkheid ook nog eens flink wordt aangescherpt, krijgen gemeenten het nog erg druk met de privacywetgeving.’