+31631995740 info@privacyzone.nl
Selecteer een pagina

Gemeenten houden bij smartcity projecten onvoldoende rekening met privacy wetgeving

Privacy Nieuws

De Autoriteit Persoonsgegevens (AP) publiceert aanbevelingen voor de ontwikkeling van zogenoemde smart city-toepassingen. De aanbevelingen zijn bedoeld voor gemeenten die met slimme sensoren en meetapparatuur data in de openbare ruimte verzamelen of dat van plan zijn.

De adviezen van de AP zijn nodig omdat gemeenten niet altijd voldoende stilstaan bij de privacywetgeving terwijl dit juist bij smart city-toepassingen waarbij persoonsgegevens van de burgers verwerkt worden essentieel is.

Slecht ontwikkelde toepassingen kunnen ten koste gaan van de vrijheid van inwoners en bezoekers van die gemeente. Bijvoorbeeld wanneer burgers in de openbare ruimte worden gevolgd op een manier die niet nodig is of niet is toegestaan. 

Een gemeente die technologie inzet, kan daarbij persoonsgegevens verwerken. Met sensoren of meetapparatuur worden bijvoorbeeld verkeersstromen en bezoekersaantallen gemeten of uitgaansgebieden gemonitord om de mobiliteit en veiligheid te verbeteren.

De privacywet – de Algemene verordening gegevensbescherming (AVG) – beschermt mensen tegen het onnodig of ongeoorloofd verzamelen of gebruiken van hun persoonsgegevens in de openbare ruimte.

Ongedwongen over straat

Monique Verdier, vicevoorzitter AP: “Het gevaar bestaat dat we naar een surveillancemaatschappij gaan waar je niet meer ongedwongen over straat kunt lopen. De inzet van technologie kan gemeenten weliswaar meer inzicht geven in het gebruik van de openbare ruimte, maar dat mag niet zonder stil te staan bij de prijs die de inwoners en bezoekers van die gemeente hiervoor betalen.

Hoe verhoudt het verzamelen van hun gegevens in de openbare ruimte zich tot hun vrijheid?

Wie kan er allemaal bij die gegevens en waar mogen die voor worden gebruikt?

Welke informatie mag aan elkaar worden gekoppeld?

De technische mogelijkheden zijn oneindig, maar aan wat ethisch en juridisch toelaatbaar is zit een grens.”

Grote verschillen

De AP heeft gekeken naar de mate waarin gemeenten gebruik maken van smart city-toepassingen en hoe ze bij de ontwikkeling en invoering daarvan de persoonsgegevens van inwoners en bezoekers beschermen.

De verschillen bij de inzet van smart city-toepassingen zijn groot.

Sommige gemeenten lopen voorop in de ontwikkeling van smart city-toepassingen en zetten hiervoor nieuwe technologieën in. Maar er zijn ook gemeenten die geen of heel weinig smart city-toepassingen gebruiken.

Dit verschil wordt onder meer bepaald door de omvang van de gemeente en de vraagstukken die er leven. 

Gemeenteraad

Ook de gemeenteraden moeten scherp zijn op digitalisering en de inzet van smart city-toepassingen. Zij moeten voldoende kennis hebben en informatie over smart city-toepassingen krijgen om hun controlerende taak goed uit te kunnen voeren.

Gemeenteraadsleden kunnen bijvoorbeeld bij hun interne privacytoezichthouder – de Functionaris gegevensbescherming (FG) – vragen hoe de privacy is geborgd en welke risico’s er zijn voor mensen die in hun gemeente wonen, werken of er op bezoek zijn. 

Nederland beschikt over veel technologische kennis en innovatiekracht. Gemeenten kunnen dit goed benutten voor het ontwikkelen van privacyvriendelijke smart city-toepassingen.

Tenminste, als die technologie wel echt nodig is om een probleem in de openbare ruimte aan te kunnen pakken. Want waar een probleem zonder inzet van die technologie en data kan worden opgelost, moet een gemeente deze vaak minder ingrijpende optie onderzoeken.

Monique Verdier: “Technologie kan ons helpen om onze problemen op te lossen en de stad leefbaarder en veiliger te maken. Maar we moeten het wel zo inregelen dat ze niet zelf allerlei nieuwe problemen en onveiligheidsgevoelens veroorzaken.

Bestuurders en ambtenaren moeten de rechten en vrijheden van burgers uiterst serieus nemen. Dat betekent dat zij hun privacy ook daadwerkelijk meenemen bij elke stap in de ontwikkeling naar een smart city. Laat privacy het startpunt zijn van innovatie, niet het sluitstuk.” 

Aanbevelingen

Om de privacy van inwoners te borgen, wijst de AP onder andere op de volgende aspecten bij de ontwikkeling van smart city-toepassingen: 

  • Zorg dat de basisbeginselen van de AVGop orde zijn. 
  • Het opstellen van een risicoanalyse, een zogenoemde data protection impact assessment (DPIA), voor smart city-toepassingen is vaak verplicht. Een DPIA helpt om te beoordelen of de gegevensverwerking rechtmatig is en welke mogelijke risico’s er zijn. Overweeg om de DPIA te publiceren, burgers weten dan hoe hun privacy is geborgd.
  • Maak beleid voor de inzet van smart city-toepassingen en vertaal dit naar praktische handvatten voor uitvoering.
  • Wees bij aanschaf van producten en diensten kritisch of deze aan de AVG voldoen. Een leverancier kan dat beweren, maar is het in de context van uw gemeente wel echt zo? 
  • Onderzoek hoe u als gemeente inzicht krijgt in de sensoren die door derden in de openbare ruimte worden geplaatst en deel deze informatie met burgers. 
  • Zorg voor voldoende mensen en middelen voor het organiseren van privacy binnen de gemeente. Let er vooral op dat de interne privacytoezichthouder, de FG, zijn of haar rol goed kan uitoefenen. 
  • Gebruik de kennis van burgers bij het in kaart brengen van de risico’s. Zij kennen hun eigen leefomgeving het best en kunnen meedenken over de gevolgen van een technische toepassing. 

De aanbevelingen zijn tot stand gekomen met dank aan diverse deskundigen en onafhankelijke reflecties van Waag, imec-CiTiP/KU Leuven en imec-SMIT/Vrije Universiteit Brussel (SPECTRE Project/Smart-city Privacy: Enhancing Collaborative Transparency in the Regulatory Ecosystem).

Alle persoonsgegevens van leerlingen komen onder één nieuwe wettelijke regeling.

Privacy Nieuws

De gegevens van leerlingen kunnen gemakkelijker en flexibeler gebruikt worden door het ministerie, onderwijsinstellingen, gemeente en mogelijke andere belanghebbenden. De Tweede Kamer is hier mee akkoord gegaan.

Alle gegevens in de bestaande leerlingregistratiesystemen komen met dit wetsvoorstel (toelichting) van minister Van Engelshoven (D66) onder één wettelijke regeling te vallen.

Het gaat om de gegevens van het basisregister onderwijs (BRON), het meldingsregister relatief verzuim, het diplomaregister en het register vrijstellingen en vervangende leerplicht.

Al deze gegevens worden door Dienst Uitvoering Onderwijs (DUO) beheerd.

De gegevens worden in principe alleen juridisch samengevoegd.

Technische worden de registratiessystemen met dit wetsvoorstel niet veranderd.

Door het samenbrengen van de gegevens van leerlingen in één wet ontstaat volgens de minister meer overzicht over welke gegevens beschikbaar zijn en kunnen gegevens eenvoudiger worden hergebruikt.

De gegevens worden onder andere gebruikt door het ministerie en de onderwijsinstellingen maar ook door gemeente voor het handhaven van de leerplicht en bijvoorbeeld als onderdeel van het bieden van (jeugd)zorg aan haar inwoners.

Glijdende schaal

Volgens de minister verandert er voor de privacy van leerlingen en studenten nauwelijks iets, omdat de systemen alleen juridisch worden samengevoegd.

Aan de andere kant dient de minister dit wetsvoorstel juist in om de gegevens beter toegankelijk te maken zodat ze eenvoudiger kunnen worden gebruikt.

De Autoriteit Persoonsgegevens oordeelt (pdf) dat er wel degelijk impact op de privacy kan zijn.

De toezichthouder constateert dat het bij elkaar brengen van gegevens in één wettelijke regeling tot “een completer beeld van de onderwijsdeelnemers” leidt dat daardoor “juist een grotere inbreuk op de persoonlijke levenssfeer kan opleveren”.

Ook zijn de de wetsartikelen over het gebruik van gegevens volgens de autoriteit onnodig ruim geformuleerd.

De toezichthouder vreest een glijdende schaal doordat “de kans toeneemt dat de persoonsgegevens voor andere doelen zullen worden gebruikt dan oorspronkelijk was bedoeld”.

De bundeling van de registerwetgeving heeft volgens de Autoriteit Gegevensbescherming naar verwachting de volgende effecten:

 

Ten eerste wordt meegenomen de beschikbaarstelling van diplomagegevens van het erkende niet bekostigde voortgezet onderwijs (VO), middelbaar beroepsonderwijs (MBO), voortgezet algemeen volwassenonderwijs (VAVO) en hoger onderwijs (HO).

In het diplomaregister zijn de diplomagegevens van het bekostigde onderwijs al opgenomen.

Voor het bekostigde en niet bekostigde onderwijs gelden dezelfde overwegingen voor het beschikbaar stellen van diplomagegevens vanuit het register:

  • bijdrage aan fraudebestrijding; helderheid over wat erkende diploma’s zijn
  • lastenverlichting voor (toekomstige) diplomabezitters, onderwijsinstellingen, alsmede indirect voor potentiële werkgevers en overheidsinstanties
  • voorziening voor de diplomabezitter (bewijs behaalde diploma) in geval van verlies of diefstel van een diploma.

Het tweede andere onderwerp dat wordt meegenomen in het wetsvoorstel is de uitbreiding van de gegevenslevering uit het basisregistratie personen (BRP) aan onderwijsinstellingen in het VO, MBO en VAVO met de geboorteplaats van de onderwijsdeelnemer, ten behoeve van de vermelding op het diploma.

De gegevens ‘naam’ en ‘geboortedatum’ worden momenteel al door de Dienst Uitvoering Onderwijs (DUO) aan de onderwijsinstelling geleverd.

Minister bepaalt

In het wetsvoorstel is de mogelijkheid opgenomen dat de minister zelfstandig bepaalt welke gegevens verzameld mogen worden en met wie die gedeeld mogen worden.

Tot op heden zijn de gegevens die verzameld worden wettelijk vastgelegd en kan dat niet zomaar worden aangepast.

Ook wie toegang tot de gegevens heeft is wettelijk verankerd.

Met deze nieuwe wet kan de minister dat op elk moment zelfstandig aanpassen als zij dat nodig acht.

Wel heeft de Tweede Kamer vandaag ook twee wijzigingen van SP en GroenLinks aangenomen waarmee wordt voorgeschreven dat de minister de Tweede Kamer vier weken van te voren over aanpassingen op de hoogte moet brengen.

Het gaat dan om aanpassingen met betrekking tot welke gegevens worden gedeeld en met welke derde partijen dat gebeurt.

De Kamer kan dan in die vier weken eventueel nog in actie komen.

Over eventuele wijzigingen in welke gegevens worden verzameld, hoeft de Kamer niet van te voren te worden geïnformeerd.

Het wetsvoorstel gaat nu naar de Eerste Kamer.