Nieuws

Gemeenten houden zich niet aan privacywetgeving: miljoenen burgers lopen risico

24 mei 2022

Basis niet op orde bij tien grootste gemeenten

Het is slecht gesteld met de privacy van burgers bij gemeenten, blijkt uit onderzoek van digitale burgerrechtenorganisatie Bits of Freedom. De organisatie onderzocht of de tien grootste gemeenten voldoen aan de Algemene verordening gegevensbescherming (AVG)[1], een wet die op
25 mei 2018 in werking is getreden. Ondanks dat de privacywet nu vier jaar bestaat, blijkt uit de onderzoeksresultaten dat gemeenten de basis niet op orde hebben, vaak niet weten welke gegevens ze mogen verwerken en welke risico’s daarbij komen kijken. Daarnaast worden de privacyverzoeken van burgers onvoldoende in behandeling genomen. Ook bij het interne toezicht gaat nog veel mis: gemeenteraden worden niet geïnformeerd en interne toezichthouders en privacyteams hebben onvoldoende capaciteit. Dat maakt het risico op privacyinbreuken zoals een datalek of onrechtmatige gegevensdeling voor burgers onnodig groot. 

Het afgelopen jaar heeft Bits of Freedom onderzocht hoe het met de naleving van de privacywetgeving is gesteld bij de tien grootste gemeenten in Nederland. De organisatie vroeg interne toezichtrapporten en adviezen op via een beroep op de Wet Openbaarheid van Bestuur. Nadia Benaissa, beleidsadviseur en onderzoeker voor Bits of Freedom: “Het is erg ontluisterend om te zien dat zelfs de grootste gemeenten met de meeste kennis en capaciteit niet aan de basis van de wetgeving voldoen om de privacy van hun inwoners te waarborgen. Gemeenten hebben nu vier jaar de tijd gehad om orde op zaken te stellen. Toch blijkt bij de onderzochte gemeenten de basis niet op orde te zijn en is er soms nauwelijks verbetering te zien. Dat is extra wrang, omdat wij merken dat dezelfde gemeenten staan te springen om te werken met experimentele technologie zoals slimme camera’s of algoritmen, terwijl ze nog niet eens aan de basisprincipes van de wetgeving voldoen.”

Tekortkomingen van gemeenten
Uit het onderzoek van Bits of Freedom komt naar voren dat gemeenten onvoldoende zicht hebben op welke gegevens ze opslaan en gebruiken. Ondanks dat interne toezichthouders meermaals op de risico’s hebben gewezen, blijken gemeenten nog te vaak hun adviezen te negeren. Ook komt naar voren dat gemeenten tekortschieten op het gebied van intern toezicht en transparantie. Zo heeft de gemeente Tilburg helemaal geen AVG-rapportages en lakt de gemeente Almere opgevraagde documenten rigoureus zwart. Ook blijken slechts vier van de tien onderzochte gemeenten verantwoording af te leggen aan de gemeenteraad door toezichthoudersrapporten met hen te delen. Privacyteams en toezichthouders geven meermaals aan onvoldoende bemensing en middelen te hebben, maar krijgen geen extra ondersteuning.

Gevolgen tekortkomingen
Onderzoeker Benaissa benadrukt het risico van de tekortkomingen:
“We hebben in de afgelopen jaren een groot aantal datalekken gezien bij overheden, waar de privacy van burgers ernstig geschonden werd. Denk bijvoorbeeld aan het recente datalek bij de GGD in Rotterdam en het incident bij Bureau Jeugdzorg Utrecht in 2019, waarbij duizenden dossiers van kwetsbare kinderen op straat kwamen te liggen als gevolg van slechte AVG-naleving. Dit soort datalekken hebben ernstige gevolgen voor het leven van slachtoffers. Dit kan voorkomen worden door de basisprincipes van de AVG-wetgeving te volgen en goed intern toezicht te hebben. Dat het op deze punten zo fundamenteel mis is, is een ernstig risico voor miljoenen mensen in Nederland. Gemeenteraden moeten hier nu actie op ondernemen.”

Aanbevelingen Bits of Freedom
De burgerrechtenorganisatie heeft vandaag naast haar onderzoek een reeks aanbevelingen aan gemeenten gepubliceerd. Onder meer het doorlopend in kaart brengen van de processen waar data bij komt kijken binnen de gemeente, strengere controles door de gemeenteraad en Rekenkamer en ‘spannende’ pilots en experimenten een halt toeroepen tot de basis op orde is. Benaissa: “Het gaat erom dat een gemeente begrijpt dat het beschermen van de privacy van hun burgers een kerntaak is: dat bezuinig je niet weg en adviezen daarover sla je niet in de wind.”

Verantwoording onderzoek
Dit onderzoek richt zich op de tien grootste gemeenten van Nederland: Amsterdam, Rotterdam, Den Haag, Utrecht, Eindhoven, Groningen, Tilburg, Almere, Breda en Nijmegen. Samen zijn zij verantwoordelijk voor de verwerking van de gegevens van zo’n 3,8 miljoen mensen. Benaissa: “Doordat grotere gemeenten een voorbeeldfunctie vervullen en regelmatig werkzaamheden van kleinere gemeenten overnemen, blijkt de werkwijze in veel gevallen overeen te komen. We verwachten daarom dat de resultaten van dit onderzoek grotendeels ook gelden voor kleinere gemeenten.”

In 2021 heeft Bits of Freedom een Wob-verzoek ingediend bij de
gemeenten met de vraag alle rapportages van de Functionarissen Gegevensbescherming op te sturen vanaf 2017 tot op heden, samen met alle rapportages inzake de informatiebeveiliging. Ook heeft de organisatie verzocht de interne reacties daarop te delen. De Wob-documenten zijn op aanvraag beschikbaar. Lees het volledige onderzoeksrapport via onze databank

[1] De Algemene verordening gegevensbescherming (AVG) is de privacywetgeving die sinds 25 mei 2018 in de hele Europese Unie geldt. In de AVG staan de regels waaraan moet worden voldaan bij de verwerking (verzameling, gebruik en opslag) van persoonsgegevens en de rechten van betrokkenen. De AVG verving in 2018 een vergelijkbare Nederlandse privacywetgeving en geldt voor alle organisaties, waaronder ook gemeenten.

MEER NIEUWS

11-04-2024

Patagonia Amsterdam opent deuren

Lees meer
28-03-2024

Bol bestaat een kwart eeuw en blikt vooruit: “Circulair winkelen moet mainstream worden”

Lees meer
26-03-2024

Patagonia opent voor één dag Worn Wear pop-up shop in Amsterdam

Lees meer
14-03-2024

Bol bundelt krachten met leveranciers om uitstoot CO2 te verminderen

Lees meer