We deden onderzoek naar de naleving van de privacywet door de tien grootste gemeenten. Helaas scoorden de meeste gemeenten een onvoldoende, ondanks dat de wet vandaag vier jaar bestaat.

Vier kaarsjes voor de privacywet

Vier jaar geleden trad op 25 mei 2018 de Algemene verordening gegevensbescherming (AVG) in werking. Deze wet verving de Wet bescherming persoonsgegevens. Er kwamen meer regels voor organisaties die ervoor moesten zorgen dat zij beter verantwoording zouden afleggen over de manier waarop ze omgaan met persoonsgegevens. Ook moest de privacywet meer zeggenschap en controlemogelijkheden geven aan mensen.

We vroegen ons af hoe goed de wet in de praktijk werkt. We besloten onderzoek te doen onder gemeenten. Dat zijn bij uitstek dé organisaties die veel verschillende en heel gevoelige persoonsgegevens verwerken van burgers, vaak zonder dat burgers daar een keuze in hebben. Gemeenten mogen en moeten persoonsgegevens namelijk vaak verwerken op grond van een wettelijke taak of plicht.

We kozen voor de tien grootste gemeenten van Nederland: Amsterdam, Rotterdam, Den Haag, Utrecht, Eindhoven, Groningen, Tilburg, Almere, Breda en Nijmegen. Ten eerste omdat deze tien gemeenten bij elkaar opgeteld de gegevens verwerken van zo’n 3,8 miljoen mensen. Ten tweede besteden kleine gemeenten regelmatig werkzaamheden uit aan grote gemeenten, en is de stand van zaken bij de grote gemeenten dus ook relevant voor de kleinere gemeenten. Ten derde vervullen grote gemeenten een voorbeeldfunctie voor kleinere gemeenten. We hebben bij de tien grootste gemeenten een Wob-verzoek ingediendDownload hier een ZIP-bestand met alle opgevraagde documenten met de vraag ons alle rapportages van de Functionarissen Gegevensbescherming op te sturen vanaf 2017 tot nu, samen met alle rapportages over de informatiebeveiliging. Ook hebben we gevraagd de interne reacties daarop met ons te delen.

Vandaag publiceren we ons rapport naar aanleiding van ons onderzoek op basis van deze documenten.

Betreurende resultaten

Helaas blijkt het nog niet zo goed te gaan als we, inmiddels vier jaar verder, zouden mogen verwachten. Dit zijn onze belangrijkste bevindingen:

• Gemeenten hebben de basis gegevenshuishouding nog niet goed op orde. Verwerkingsregisters zijn niet compleet en actueel, waardoor gemeenten niet voldoende weten welke gegevens ze verwerken, met welk doel, of die verwerking rechtmatig en veilig is en met wie er wordt samengewerkt. Zonder goed overzicht kunnen gemeenten niet goed inschatten wat mogelijke risico’s zijn voor burgers.
• Gemeenten tonen zich tegelijkertijd wel ambitieus in het datagedreven werken en uitproberen van nieuwe technologieën. Dat is onverstandig als de basis nog niet op orde is, omdat de gegevens waarvan de rechtmatigheid, betrouwbaarheid en actualiteit nog niet gecontroleerd zijn, vervolgens gebruikt worden als input bij het gebruik van bijvoorbeeld big data of algoritmen. Het risico bestaat dan dat er onrechtmatig of onjuiste data wordt ingevoerd, wat weer onrechtmatige of onjuiste resultaten kan opleveren, en dat schaadt burgers.
• Burgers die hun AVG-rechten inzetten, bijvoorbeeld door inzage te verzoeken, moeten vaak te lang wachten. Processen zijn niet overal op orde en wettelijke termijnen worden onterecht verlengd en overschreden. De AVG moest er juist voor zorgen dat burgers meer controle en zeggenschap kregen over hun persoonsgegevens. Maar deze rechten worden niet door elke gemeente serieus genomen.
• Bij vrijwel alle gemeenten is er sprake van een capaciteitsprobleem, doordat er onvoldoende middelen worden vrijgemaakt voor gegevensbescherming. Dit wekt de indruk dat verantwoordelijke bestuurders en directies dit onvoldoende prioriteren. Zonder capaciteit en middelen, kunnen er ook geen stappen gezet worden om de AVG alsnog naar behoren na te leven.
• Op grond van artikel 60 van de Gemeentewet moeten burgemeesters en wethouders verantwoording afleggen aan de gemeenteraad over het gevoerde bestuur. De meerderheid van de gemeenten legt echter niet actief verantwoording af aan de gemeenteraad door de AVG-rapportages van de Functionaris Gegevensbescherming met hen te delen. Veel gemeenten vertellen in een paar zinnen hoe het gaat met de naleving van de AVG, maar daarbij wordt zo weinig informatie gedeeld dat het gemeenteraden niet in staat stelt hun controlerende functie uit te oefenen.

We zien ook positieve ontwikkelingen

Hoewel sommige gemeenten niet vooruit te branden lijken en toezichthouders jaar na jaar een onverbeterde situatie constateren in de rapportages, is er bij andere gemeenten duidelijk een stijgende lijn te zien. Zo laat de gemeente Rotterdam zien dat adviezen van de toezichthouder goed worden opgevolgd, waardoor ze steeds beter gaat voldoen aan de AVG.

In de gemeente Utrecht is in 2016 tijdig begonnen met een projectteam om voor te bereiden op de AVG. Ze waren één van de eerste gemeenten die het verwerkingsregister publiceerde op hun website. Nadat de toezichthouder aangaf dat de inzageverzoeken niet goed genoeg gingen en er te weinig capaciteit was, werd er actie ondernomen om dat te verbeteren. De gemeente Utrecht scoort het hoogst op de onderdelen die we onderzocht hebben. Dat lijkt te komen doordat het onderwerp serieus genomen wordt en er voldoende tijd en middelen voor vrijgemaakt worden om de rechten van burgers te beschermen.

Dat is iets waar andere gemeenten nog veel van kunnen leren. De bescherming van persoonsgegevens is voor gemeenten een kerntaak. Dat bezuinig je niet weg en adviezen daarover sla je niet in de wind.

Werk aan de winkel

In het rapport doen we ook een aantal aanbevelingen die gemeenten kunnen opvolgen om alsnog aan de AVG te voldoen. Onder meer het doorlopend in kaart brengen van de processen waar persoonsgegevens bij komen kijken binnen de gemeente, strengere controles door de gemeenteraad en Rekenkamer en ‘spannende’ pilots en experimenten een halt toeroepen tot de basis op orde is.