Uit recent onderzoek (mei 2022) van Bits of Freedom blijkt dat negen van de tien grootste gemeenten nog steeds niet voldoen aan de privacywet. Verwerkingsregisters blijken niet compleet en actueel, waardoor gemeenten niet voldoende weten welke gegevens ze verwerken, met welk doel, of dat rechtmatig en veilig is en met wie er wordt samengewerkt. Bij inzageverzoeken blijken processen niet op orde. Wettelijke termijnen blijken zonder legitieme reden te worden verlengd en overschreden. Dat is zorgwekkend, nu gemeenten veelal over een schat aan informatie over hun inwoners beschikken. Verder blijkt dat de meerderheid van de gemeenten niet actief verantwoording aflegt aan de gemeenteraad door de AVG-rapportages van de Functionaris Gegevensbescherming met hen te delen. Burgemeesters en wethouders zouden dit op grond van artikel 60 van de Gemeente­wet wel moeten doen. Het onderzoek legt daarnaast bloot dat er bij vrijwel alle gemeenten sprake is van een capaciteits­probleem, doordat er onvoldoende middelen worden vrijgemaakt voor (persoons)gegevensbescherming.

Tegelijkertijd willen gemeenten datagedreven werken en nieuwe technologieën uitproberen. Maar als de basis nog niet op orde is, is dat heel onverstandig, omdat van de gegevens die daarvoor worden ingezet de rechtmatig­heid, betrouwbaarheid en actualiteit nog niet gecontroleerd zijn. De risico’s van de inzet van deze gegevens bij het gebruik van bijvoorbeeld big data of algoritmen zijn alsdan niet te overzien.

In het onderzoeksrapport van Bits of Freedom staat een aantal interessante aanbevelingen voor gemeenten om hun basisverplichtingen te verbeteren. Zoals het voortdurend vullen en actueel houden van het verwerkingsregister. Organisaties zien dit vaak als een eenmalige klus, maar het is in feite een doorlopend proces waarbij met regelmaat kritisch moet worden gekeken naar nut en noodzaak van verwerkingen. Zijn deze nog noodzakelijk en rechtmatig, voldoen deze aan het beginsel van dataminimalisatie? Kunnen verwerkingen worden gestopt? Is voldoende in kaart gebracht met welke partijen wordt samengewerkt en is duidelijk vanuit welke hoedanigheid en bevoegdheid? Is er sprake van (gedeelde) verwerkingsverantwoordelijkheid of van een verwerker? Zijn de daarbij behorende overeenkomsten goed afgesloten? Ten slotte: zorg dat de basisverplichtingen uit de AVG goed op orde zijn voordat wordt begonnen met datagedreven werken met behulp van nieuwe technologieën (algoritmen en Big Data).

De gevolgen van het niet op orde hebben van de verplichtingen uit de AVG kunnen namelijk aanzienlijk zijn. Bovendien kan de Autoriteit Persoonsgegevens (AP) handhavend optreden en forse boetes opleggen, een last onder dwangsom opleggen of onderzoeksresultaten publiceren. De AP heeft voor de periode 2020-2023 afgekondigd om extra focus te leggen op onder meer de digitale overheid, artificiële intelligentie en algoritmen. Dus overheden: wees gewaarschuwd!

De advocaten en juristen van Elferink & Kortier Advocaten schrijven op deze plek regelmatig een column, waarin zij een praktisch probleem op het gebied van de AVG in relatie tot informatiebeheer behandelen. Heeft u een praktijkvraag die u behandeld wilt zien? Stuur deze naar Od@publiekdenken.nl.