Nummer 11, 2016

Vaak zonder dat wij het weten, bezitten organisaties en commerciële partijen veel data van ons. Die hebben ze bijvoorbeeld verkregen via hun bestanden, internet of sociale media.


Ook gemeenten bezitten veel digitale gegevens van hun inwoners, die ze slim kunnen gebruiken. Maar zijn die data bij hen in veilige handen?

Auteur: Paul van der Zwan

Steeds meer gemeenten leggen zich toe op slim gebruik van gegevens, kennis en producten. Smart cities zijn in opkomst. Liesbet van Zoonen, hoogleraar sociologie aan de Erasmus Universiteit en directeur van het Centre for Big, Open and Linked Data (BOLD) Cities, waarin de universiteiten van Leiden, Delft en Rotterdam samenwerken, kent vele voorbeelden. Uit de losse pols noemt zij de gemeente Utrecht, die stroom van zonnepanelen doorleidt naar oplaadpunten voor elektrische auto’s, Rotterdam dat een regenmonitor heeft die ervoor zorgt dat bij regen de verkeerslichten voor fietsers langer op groen staan en de slimme verlichting in het Eindhovense stadsdeel Strijp-S, die zich aanpast aan de drukte in het gebied. ‘Er zijn veel voorlopers in gemeenteland.’

Milieuzones

Of bij die toepassingen gebruik wordt gemaakt van gegevens van mensen hangt volgens Van Zoonen af van de technologie die wordt gebruikt en van de manier waarop die gegevens gepresenteerd worden. Neem de milieuzones voor de binnenstad in Rotterdam en in Utrecht. ‘Als je de Rotterdamse milieuzone inrijdt, zie je op een groot bord je kenteken en of je wel of niet de zone in mag. In de openbare ruimte is dus met kenteken en al te zien of je auto te vervuilend is. In Utrecht is op het bord alleen te zien of je auto de zone wel of niet in mag, maar wordt je kenteken niet getoond.’ Beide steden maken gebruik van de data van de Rijksdienst voor het Wegverkeer, maar presenteren ze op een andere manier aan de burger.

Veel van onze data worden, eveneens door gemeenten, opgeslagen. Burgers hebben daar naar het oordeel van Van Zoonen over het algemeen weinig last van. ‘Behalve als de gemeente iets verkeerd heeft geregistreerd. Wanneer er in de Gemeentelijke Basisadministratie Persoonsgegevens (GBA) bijvoorbeeld een foutief adres staat, kan dat gevolgen hebben bij onder meer de aanvraag van huursubsidie.’

Ze vindt overigens dat gemeenten dergelijke fouten direct zouden moeten herstellen. ‘Dat gebeurt vaak heel langzaam en moeizaam, blijkt uit de rapporten van de Nationale ombudsman. Voorwaarde is uiteraard dat een fout in de GBA geen gevolg mag zijn van fraude, maar dat die komt door een vergissing.’ De overheid zou hierbij wat Van Zoonen betreft een voorbeeld kunnen nemen aan de banken. ‘Als je bankpas in Hongkong wordt gebruikt, krijg je vaak een telefoontje of sms’je met de vraag of dat wel klopt.’

Verantwoordelijkheid

Burgers hebben lang niet altijd een keus als het om het gebruik van hun gegevens gaat. Bij de aanvraag van een paspoort of  een inschrijving is de overdracht van persoonlijke gegevens verplicht. ‘Gemeenten mogen die gegevens alleen gebruiken voor het doel waarvoor burgers die aan hen geven, en niet voor iets anders.’

Zijn burgers zich bewust van de consequenties die zijn verbonden aan het geven van data? Burgers staan volgens Van Zoonen in het algemeen paradoxaal ten opzichte van hun zorg voor die data. ‘Aan de ene kant maken zij zich zorgen over eventueel misbruik van die data. Aan de andere kant zit ongeveer 75 procent van de mensen op Facebook; anderen kunnen alles van hen lezen en zien. Veel mensen gebruiken 1234 als pincode en gebruiken heel lang hetzelfde wachtwoord. Als je zo bezorgd bent over je privacy is dat een rare tegenstelling. Dat heet de privacyparadox.’

Van Zoonen haalt deskundigen aan die zeggen dat het voor burgers onmogelijk is om precies te weten wat er met je data gebeurt. ‘De verantwoordelijkheid voor privacy ligt bij organisaties, deze moeten ervoor zorgen dat data in hun systemen niet gehackt en opnieuw gebruikt kunnen worden. Dat is een kwestie van zogeheten privacy-by-design.’

Gemeenten doen dat volgens Van Zoonen overigens vaak al. ‘Het hangt wel af van de gemeentegrootte; grotere gemeenten doen er meer aan dan kleinere, want zij hebben er meer geld en expertise voor beschikbaar.’

Risico’s

Gemeenten kunnen bij voorgenomen beleid, maar ook voor concrete diensten, producten en systemen een zogeheten privacy impact assessment (PIA) doen. Dan kunnen ze in een vroeg stadium zicht krijgen op de privacyrisico’s van beleid of een project en dat eventueel aanpassen. Voor het Rijk is dat verplicht bij bijvoorbeeld nieuwe wetgeving. De Informatiebeveiligingsdienst voor gemeenten, een initiatief van de VNG en het Kwaliteitsinstituut Nederlandse Gemeenten, raadt dat voor het lokale niveau ook aan.

Zo’n PIA kan deel uitmaken van gemeentelijk privacybeleid, dat ook geldt bij de slimme toepassing van burgerdata. Het is volgens Van Zoonen erg simpel: ‘Dat gemeentelijk privacybeleid komt er gewoon op neer dat gemeenten de EU-richtlijnen voor gebruik van data moeten uitvoeren. Dat houdt in dat gemeenten alleen na toestemming van burgers data van hen mogen verzamelen en alleen met een bepaald doel. Willen gemeenten die data voor een ander doel gebruiken, dan moeten ze die burgers weer om toestemming vragen. Dat is overigens erg lastig en bovendien peperduur omdat je data steeds opnieuw moet opvragen.’

De Europese regelgeving rond gebruik van data beoordeelt Van Zoonen als streng. ‘Een klacht van gemeenten is dat die regels belemmerend werken; dat heeft ook weer te maken met het ontbreken van de mogelijkheid om data te koppelen en opnieuw te gebruiken.’ Ze haalt een voorbeeld aan van de gemeente Rotterdam. ‘Die wil het Schouwburgplein opnieuw inrichten. Daarbij is het natuurlijk makkelijk als de gemeente weet hoeveel mensen zich daar op straat bewegen, hoe ze dat doen en hoe de geldstromen lopen. De gemeente wil tevoren allerlei proeven doen met het oog op die herinrichting, maar dat kan niet omdat gegevens niet gekoppeld en opnieuw gebruikt kunnen worden.’

Van Zoonen ziet het probleem. ‘Het zou goed zijn als er regelvrije zones zouden komen waar gemeenten kunnen experimenteren met het koppelen van data. Ik weet dat veel gemeenten dat willen, maar het is ingewikkeld wie precies waarvoor toestemming kan geven als het om datagebruik gaat.’

Controleparadox

Burgers hoeven zich naar het oordeel van Van Zoonen niet al te veel zorgen te maken over de waarborging van hun privacy door gemeenten. ‘Er zijn natuurlijk voorbeelden van datalekken bij gemeenten, maar fouten komen overal voor. Interessanter is wie de burger vertrouwt bij het beheer van zijn data. Uit onderzoek door de EU blijkt dat burgers banken en medische instellingen op dat gebied het meest vertrouwen; IT-bedrijven wantrouwen ze het meest. Bij nationale overheden hangt het ervan af: de Engelse overheid wordt bijvoorbeeld slecht vertrouwd, maar de Nederlandse overheid komt er goed af bij de burgers.’

Dat gaat volgens Van Zoonen ook op voor gemeenten. ‘Gemeenten en gemeenteambtenaren zijn wat het koppelen en hergebruiken van data betreft eerder erg conservatief. Dat is een voordeel, maar het houdt ook weer het creatief gebruik van data tegen.’
De TU Delft doet onderzoek naar beheer van data door burgers. Van Zoonen is er niet direct van overtuigd. ‘In diverse wetenschappelijke studies is gevonden dat er dan een controleparadox kan optreden: burgers willen de controle hebben, maar als ze die eenmaal hebben, letten ze minder op wat er met die data gebeurt.’

Utopie

Beheer door burgers van hun elektronische gegevens noemt Van Zoonen in ieder geval een utopie. ‘Per persoon in Nederland zitten we gemiddeld in 250 databases. Die data krijgen we echt niet meer terug.’

Commerciële partijen worden daarbij minder goed vertrouwd dan de overheid. ‘Een grote Nederlandse bank wilde vorig jaar klantgegevens doorverkopen. Zodat bijvoorbeeld een tuincentrum je een berichtje kan sturen als de viooltjes in de aanbieding zijn. Hoewel de bank beloofde toestemming te vragen aan de klanten, pikten ze dat toch niet en de bank heeft haar plannen moeten laten varen.’

Burgers vertrouwen gemeenten meer. Terecht, vind Van Zoonen: ‘Gemeenten zijn erg voorzichtig. Daarnaast zijn gemeenteambtenaren, net als wetenschappers, natuurlijk onderworpen aan strenge integriteitsregels.’

Complexer veld

Door de (nieuwe) Europese wetgeving, de technische mogelijkheden en de decentralisaties wordt het veld rond privacy voor gemeenten steeds complexer. Privacy is niet langer een onderwerp waar alleen juristen mee bezig zijn; privacy raakt de hele gemeentelijke organisatie.

Gemeenten zijn nu bezig om de brede privcacybenadering te borgen in de organisatie. Bijvoorbeeld door het aanstellen van een functionaris gegevensbescherming of een privacy officer. Deze veranderingen zijn niet eenvoudig.

Dit alles speelt zich af in een periode waarin op 1 januari 2016 de Wet meldplicht datalekken in werking is getreden; deze kan leiden tot bestuurlijke boetes oplopend tot ruim acht ton.

Sinds 25 mei jl. geldt de Algemene Verordening Gegevensbescherming (AVG) voor EU-landen. Deze verordening vervangt de huidige Wet bescherming persoonsgegevens. Gemeenten hebben twee jaar de tijd om hun gegevensbescherming in lijn te brengen met de nieuwe wet en regelgeving. Lukt dit niet, dan worden er wederom enorme bestuurlijke boetes uitgedeeld.

Meer informatie