Bits of Freedom: De staat van privacy bij gemeenten

Burgerrechtenorganisatie Bits of Freedom (BoF) concludeerde vorig jaar dat de informatiehuishouding bij gemeenten niet op orde is. Staatssecretaris van Digitalisering Alexandra van Huffelen noemde het ‘een kwalijke zaak’ dat gemeenten achterblijven in het naleven van de AVG (Algemene verordening gegevensbescherming). 

In mei 2022 kwam het rapport ‘De staat van privacy bij gemeenten’ (pdf, 2,2 MB) uit. BoF deed onderzoek bij de tien grootste gemeenten. Via een Wob-verzoek ontvingen ze alle rapportages van de Functionarissen Gegevensbescherming vanaf 2017 en alle rapportages over de informatiebeveiliging. Vervolgens vroeg BoF om de interne reacties op deze rapportages.

De conclusies van dit rapport waren verre van positief en leidden onder meer tot Kamervragen. Enkele conclusies:

• Gemeenten hebben hun informatiehuishouding nog niet goed op orde.
• Gemeenten willen gegevens gebruiken waarvan de rechtmatigheid, betrouwbaarheid en actualiteit nog niet gecontroleerd zijn.
• Burgers die hun AVG-rechten inzetten, bijvoorbeeld door een inzageverzoek in te dienen, moeten vaak te lang wachten.
• Vrijwel alle gemeenten hebben een capaciteitsprobleem, omdat er onvoldoende middelen worden vrijgemaakt voor gegevensbescherming.

Naast deze conclusies gaf het rapport nog enkele algemene aanbevelingen die gemeenten kunnen gebruiken om hun privacy-volwassenheid te verbeteren. Bits of Freedom roept op tot het op orde krijgen van de basis van gegevensverwerking. Dit betekent het continu in kaart brengen van de processen rondom de verwerking van persoonsgegevens en het actief betrekken van de controlerende organen in de gemeenten: de gemeenteraad en rekenkamer. Ook het AVG-Borgingsproduct van Informatiebeveiligingsdienst van de VNG (IBD) voorziet hierin. 

Evaluatie UAVG

De Uitvoeringswet AVG (UAVG) heeft slechts een beperkte toegevoegde waarde ten opzichte van de Algemene Verordening Gegevensbescherming (AVG). Dat komt vooral door het gebrek aan verdere invulling van de open normen in de AVG. Dat draagt niet bij aan duidelijkheid voor de uitvoeringspraktijk. Deze conclusies staan in het evaluatieonderzoek uit 2022 van het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC) 

De AVG gaat namelijk uit van open normen, zoals noodzakelijkheid en proportionaliteit. Via de UAVG zou er ruimte moeten zijn om op bepaalde punten meer specifieke nationale regelingen te treffen. Maar een verdere concretisering en specifieke invulling van de normen heeft in de UAVG niet plaatsgevonden. Ook heeft per branche amper een operationalisering van normen plaatsgevonden. De onderzoekers concluderen dan ook dat de toegevoegde waarde van de UAVG beperkt is.

Behalve naar de werking van de UAVG is er ook gekeken naar de toepassing van de boetebevoegdheid van de AP en de meldplicht bij datalekken. Voor meer informatie hierover verwijzen we u naar het WODC-rapport.

Enquête FG's 

De publiek-private netwerkorganisatie Centrum Informatiebeveiliging en Privacybescherming (CIP) deed voor de tweede keer onderzoek (pdf, 1 MB) naar de invulling van de functie van Functionaris Gegevensbescherming binnen de publieke sector. Het eerste onderzoek vond plaats in 2018 en het tweede in 2022. Van de ruim 230 respondenten werkt 38% bij gemeenten.

De conclusies van het onderzoek schetsen geen eenduidig beeld. Positief is dat de meeste FG’s sinds 2018 een verbetering zien in de beleving van hun positie in de organisatie. FG’s hebben nu meer tijd voor hun werk en doen dat met meer ‘vak-volwassenheid’. Hun functie wordt steeds serieuzer genomen door organisaties. FG’s vinden hun bestuurders goed bereikbaar en de toezichthoudende focus van de FG’s is gegroeid. 

Daarnaast zijn er ook minder positieve signalen. Zo geeft de helft van de functionarissen aan nog deeltijd te werken en dus onvoldoende tijd te hebben voor de functie-uitvoering. Zij ervaren ook een toename van frictie met andere rollen. Met verschillende randvoorwaarden is het ook niet goed gesteld. Zo zijn budget en teamomvang geslonken, is het verwerkingsregister niet beter op orde, en het gedrag op de werkvloer moeilijker te beïnvloeden. Ook zijn FG’s minder positief over het privacy-bewustzijn van hun bestuurders. De IBD ontvangt daarnaast minder positieve signalen over de bereikbaarheid van bestuurders.

Sinds de eerste enquête en de komst van de AVG is er dus zeker veel goeds te melden, maar ook nog voldoende werk voor de boeg. Zowel voor organisaties als het CIP en de VNG, maar ook voor gemeenten en bestuurders zelf. 

Conclusie en gemeentelijk perspectief

De bovenstaande rapporten zijn afkomstig van verschillende organisaties en bevatten op het eerste gezicht beperkte samenhang. Toch gaan ze alle drie over het borgen van de verschillende facetten van verantwoorde gegevensverwerking in de gemeentelijke organisatie.

Het Bits of Freedom-onderzoek beschrijft de noodzaak van het verbeteren en betrekken van de controlerende organen van gemeenten. Het WODC-rapport is kritisch op de Uitvoeringswet AVG, die ertoe leidt dat gemeenten zelf verantwoordelijk zijn voor het formuleren van kaders. Iets waar gemeenteraden, colleges en rekenkamers een grote rol in spelen. Tot slot laat de FG-enquête zien dat de FG’s binnen de gemeentelijke organisatie een verbindende rol kunnen hebben. Mits zij goed ingebed zijn en voldoende tijd en middelen tot hun beschikking hebben. 

De conclusies uit de rapporten laten zien dat het werk van de VNG op dit gebied noodzakelijk is. Het recent gepubliceerde dreigingsbeeld 2023 van de IBD (pdf, 236 kB) gaat over meer dan alleen privacy en benadrukt de succesfactoren die nodig zijn voor een duurzame inbedding van digitale veiligheid en privacy. Dit betreft onder meer eigenaarschap van het onderwerp bij het management, naast betrokkenheid en brede borging in organisatie. 

Meer weten welk handelingsperspectief de VNG biedt? Kijk op de site van de IBD. Verschillende producten krijgen in 2023 een update!