Autoriteit Persoonsgegevens houdt digitale overheid scherp in de gaten
De Autoriteit Persoonsgegevens (AP) gaat de komende jaren extra letten op de digitale overheid, AI & algoritmes en datahandel. Het spreekt voor zich dat gemeenten horen bij ‘de digitale overheid’. Maar ook ‘datahandel’ en ‘AI & algoritmes’ zijn belangrijke aandachtsgebieden voor gemeenten. Waar moet u als gemeente op letten om niet door de AP op de vingers getikt te worden?
Ontwikkelingen die de AP ziet
De focuspunten van de AP staan in het document ‘Focus AP 2020-2023’. De AP heeft de drie focuspunten niet zomaar bedacht. Ze vloeien voort uit drie ontwikkelingen in de samenleving. Het gaat om:
- een verdere groei van de datasamenleving: organisaties verzamelen steeds meer en steeds persoonlijkere data;
- een toename van digitaal onrecht: meer datagebruik betekent meer kans op illegale datahandel, beveiligingslekken, discriminatie en ondermijning van de democratische rechtsorde;
- een toename van privacy bewustzijn: zowel organisaties als burgers zijn zich steeds meer bewust dat privacy ook in de digitale wereld belangrijk is. Tegelijkertijd zijn de gevaren op het eerste oog vaak lastig te zien. En voor zowel organisaties (extra informatie) als burgers (gebruiksgemak, gratis diensten en producten) zijn de verleidingen privacy op het tweede plan te zetten vaak groot.
Digitale overheid
Gemeenten beschikken over veel en gevoelige persoonsgegevens. Die hebben ze nodig om wettelijke taken uit te voeren, maar ook om burgers online een moderne dienstverlening te bieden en de bedrijfsvoering te optimaliseren. De AP gaat onder andere kijken of gemeenten die data goed beveiligen, geen data gebruiken en delen voor doelen waarvoor deze niet is verzameld en of gemeenten bij het ontwerp van bijvoorbeeld smart cities zo min mogelijk persoonsgegevens verzamelen. Ook politieke partijen worden gecontroleerd op naleving van de AVG, onder andere om manipulatie bij verkiezingen te voorkomen.
Artificiële Intelligentie & algoritmes
Het gebruik van algoritmes en Artificiële Intelligentie (AI) neemt steeds meer toe. Het maakt de uitvoering van taken makkelijker en leidt tot allerlei nieuwe toepassingen als datagedreven sturing en Robotic Proces Automation (RPA). Eerder dit jaar bleek uit onderzoek van de NOS dat overheden op grote schaal algoritmes gebruiken. Bijvoorbeeld om fraude en criminaliteit op te sporen of om in te schatten welke zorg iemand nodig heeft. Maar het gebruik van algoritmes en AI is niet zonder gevaar. Allereerst levert slechte input onbetrouwbare output op. Daarnaast is er een risico dat beslissingen niet meer inzichtelijk en controleerbaar zijn. Dit verhoogt de kans op foute besluiten, ongewenste profilering en discriminatie.
Datahandel
Dat u als gemeente niet mag handelen met persoonsgegevens lijkt een open deur. Toch lopen gemeenten het risico zich daar, bewust of onbewust, schuldig aan te maken. Berucht zijn de social media plugins die op sommige websites werden gebruikt. Handig om met bezoekers te communiceren of ze uw berichten te laten verspreiden, maar vooral ook een bron van informatie over uw burgers voor commerciële partijen. U kunt ook denken aan wifi-tracking van bezoekers aan de gemeente. Handig om bezoekersaantallen te tellen en zo bijvoorbeeld de aantrekkingskracht van winkelgebieden te meten. Maar volgens de AP een inbreuk op de privacy die alleen in uitzonderlijke situaties mag worden toegepast.
U genereert goud
De data die dit soort producten en diensten (met of zonder uw medeweten) opleveren is niet alleen voor u, maar ook voor commerciële partijen goud waard. Vandaar dat ze u die diensten en producten graag aanbieden. Burgers moeten er echter op kunnen vertrouwen dat u niet zomaar persoonsgegevens van ze verzamelt. En ze moeten er zeker van kunnen zijn dat als ze uw website of uw openbare ruimte bezoeken hun persoonsgegevens niet ongevraagd bij derde partijen terechtkomen.
Zeggenschap over eigen data
De AP gaat de bedrijfsprocessen van grote datahandelaren inzichtelijk maken, zodat ook de directe en indirecte gevolgen van die handel beter in kaart komen. Daarnaast gaat de AP verder met het aanpakken van het onbeperkt en zonder wettelijke basis volgen van het surfgedrag van burgers en het doorverkopen van die data. Als het gaat om slimme apparaten (IoT) ligt de focus op een goede beveiliging ervan en het ontwikkelen van een AVG-certificaat ervoor. Uitgangspunt is dat burgers zeggenschap hebben en houden over hun data.
Privacy by design en privacy by default
Privacy by design en privacy by default is een goed uitgangspunt voor alle diensten en producten die u aanschaft of zelf ontwikkelt. Belangrijke punten dus om in te brengen bij uw onderhandelingen met leveranciers. Zelf kunt u bij het opstellen van uw werkprocessen ervoor zorgen dat u zo min mogelijk data verzamelt. En dat u vernietigt wat u niet meer nodig heeft. Verder moet u de data die u wel verzamelt uiteraard goed beveiligen. Dat is niet een kwestie van techniek alleen. Bewustwording van de medewerkers van veiligheid- en privacy-risico’s is net zo belangrijk.
Nog open AVG-actiepunten?
Een concreet punt waar volgens ons veel organisaties direct mee aan de slag kunnen, is het oppakken van de nog openstaande AVG-actiepunten. Waarschijnlijk heeft u vorig jaar voor nogal wat taken een Privacy Impact Assessment (PIA) uitgevoerd. Bijvoorbeeld voor de jeugdzorg of WMO. Hiermee heeft u risico’s in kaart gebracht, verbeteringen geformuleerd en het register van verwerkingen bijgewerkt. Maar zijn alle to-do’s inmiddels ook afgehandeld? Worden de processen nog steeds regelmatig onder de loep genomen? Houdt iedereen zich aan de afgesproken bewaartermijnen? Of is de aandacht voor privacy stiekem toch een beetje verslapt?
Doe het voor uw burgers
We denken dat de aankondiging van de focuspunten van de Autoriteit Persoonsgegevens voor de komende jaren een goed moment is uw eigen beleid en uitvoering rond de privacy weer eens tegen het licht te houden. Doe het niet voor de AP, maar voor uw burgers. Zij moeten erop kunnen vertrouwen dat u zorgvuldig met hun gegevens omgaat. Meer informatie? Neem gerust contact op met Han Kuiper: 06 241 336 38, han.kuiper@quarant.nl.
Wij delen kennis, tips en adviezen. Blijf op de hoogte.
Meld u aan voor de nieuwsbrief.
Of volg ons op LinkedIn.
